Сайт Microsoft для малого и среднего бизнеса http://www.microsoft.com/rus/business/smb/ http://www.rssboard.org/rss-specification ru-RU Полезные советы Полезные советы 0.000000 0.000000 <p>В статье пойдет речь о Data Mining и его использовании с Microsoft SOL Server 2008 R2.</p><p>Для начала давайте поговорим, что такое Data Mining и какие задачи он решает, после чего перейдем к собственно демонстрации работы этого инструмента в Microsoft SQL Server.</p><p>В моих статьях посвященных Data Mining вы найдете только моменты связанными с тем, как Data Mining решает бизнес проблемы, да мы будем немного говорить о &quot;вакууме&quot; но только для целей более глубокого понимания.</p><p><img src="../../imgs/blogs/134/img001.jpg" alt="" width="550" height="420" /></p><p>Давайте приступим! Data Mining один из инструментов BI (Business Intelligence) наряду с Analysis Services(AS), Integration Services(IS) и Reporting Services(RS). Хотя его и не выделяют в якобы отдельный инструмент и часто используют как часть AS. Data Mining (Добыча данных) - позволяет нам найти некие скрытые шаблоны, зависимости в данных, которые не так просто заметны человеку, автоматически или полуавтоматически. Я возьму свой любимый пример для простейшей демонстрации данного определения. Представьте себе, что у вас есть набор данных, например о продажах автомобилей.</p><p>Вы знаете пол покупателей, возраст, количество детей, семейное положение и т.д. Допустим мы хотим получить аналитики о том, какого возраста люди покупают машины чаще в более зрелом или более молодом (При других имеющихся данных). Для этого, в обычном случае вам необходимо описать запросы, которые охватывают разного рода данные описывающие все возможные варианты влияния на продажи автомобиля для разных возрастных групп. Поверьте, их будет ну очень много. С инструментами Data Mining все выглядит куда веселей. Вам достаточно выбрать соответствующий алгоритм анализа (о них далее), выбрать колонки, которые должны участвовать в анализе (якобы влияющие на результат) и предсказуемые колонки (которые являются целью анализа). В нашем случае мы выберем колонки Возраст, количество детей, семейное положение как входящие колонки, а колонку Купил или нет? как предсказываемую. И данный алгоритм поможет отследить внутри этих данных скрытые зависимости или последовательность для обеспечения более эффективного принятия решения.</p><p>Этот пример демонстрирует простой, но уже далеко не &quot;сферический&quot; метод применения данного метода анализа.</p><p>Data Mining позволяет компаниям любого размера получить преимущества в реализации их бизнес целей. Какие бизнес проблемы может помочь решить Data Mining:</p><h2>Управление рисками </h2><br /> <p>Один из самых распространенных процессов в банковской сфере. Может использоваться для измерения уровня клиентских рисков.<br />Сегментация рынка, клиентов. Можно использовать Data Mining для задач разделения ваших данных о рынке(пользователях), что бы можно было принять правильное решение в маркетинговой стратегии или стратегии продаж.</p><h2>Прогнозирование продаж </h2><br /> <p>Другие(Churn analysis, кросс продажи)<br />Ну, реально задач намного больше. В принципе базируясь на природе проблемы можно разделить их на несколько групп:</p><h2>Классификация </h2><br /> <p>Один из самых распространенных задач Data Mining. Решаемые бизнес задачи управление рисками и т.п. По сути, классификация это процесс определения принадлежности классифицируемого параметра, к какому либо классу по ряду признаков. Например, все тот же пример по определению покупаемости автомобиля по полу, возрасту и количеству детей. И для того что бы сразу связать эти группы с Data Mining в Microsoft SQL Server, приведу те алгоритмы которые применяются внутри. Это &quot;Деревья решений&quot;(Decision Trees),&quot;Нейронные сети&quot;(Neural network), &quot;Упрощенный алгоритм Байеса&quot;(NaЇve Bayes).</p><h2>Прогнозирование </h2><br /> <p>Еще одна очень важная группа в Data Mining. Прогнозировать в принципе можно все что угодно. Как именно изменятся продажи вашего товара на рынке или как прыгнут акции вашей компании (Все что угодно). Главное иметь за спиной какой-либо набор данных, на основании которых будет сделан прогноз. Один из самых продуктивных алгоритмов это Time Series.</p><h2>Кластеризация </h2><br /> <p>Регрессия. Фиксация и наблюдение за отклонениями от какого то среднего или фактического значения. Алгоритм - Деревья решений <br />На этом закончим первую часть по Data Mining. В следующей статье мы поговорим о применении первых двух алгоритмов для организации процесса классификации, а именно &quot;Деревья решений&quot; и &quot;Упрощенный алгоритм Байеса&quot;.</p><p>Удачного изучения и применения Data Mining.</p> http://www.microsoft.com/rus/business/smb/blog/134/ Microsoft for Business <p>Это продолжение цикла статей, посвященного SharePoint для интернет-сайтов. Первую главу вы можете найти по следующей ссылке: </p><ul><li><a href="http://www.microsoft.com/rus/business/smb/blog/130/">SharePoint для интернет-сайтов. Введение</a></li></ul><p>В прошлой статье мы посмотрели веб-сайты, созданные с помощью SharePoint, поняли различия интранет и интернет-сайтов, а также разобрались с лицензированием. </p><p>В этой статье мы рассмотрим: </p><ul><li>Структура сайта</li><li>Главные страницы (Master Pages)</li><ul><ul><li>SharePoint Designer</li></ul></ul><li>Макет страницы</li></ul><h2>Структура сайта</h2><br><p>Итак, начнем работу с создания сайта на основе шаблона публикации (рис. 1). </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image2.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb2.png?w=628&amp;h=372" alt="image" width="96%" title="image"/></a></p><p>Рис. 1. Внешний вид сайта, созданного из шаблона публикации </p><p>Как мы уже говорили ранее, продумайте структуру сайта. По умолчанию в сайт включено немного страниц (рис. 2), поэтому лучше сразу подумать, как будут храниться новые страницы. Можно использовать папки, называя их в зависимости от разделов вашего сайта. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image3.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb3.png?w=628&amp;h=247" alt="image" width="96%" title="image"/></a></p><p>Рис. 2. Структура сайта </p><p>После планирования структуры сайта переходите к планированию внешнего вида страниц. При этом нужно понимать, какие возможности предоставляет SharePoint (указаны по возрастанию сложности): </p><p>1. Возможности из коробки - изменять конент в браузере, используя при этом встроенный WYSIWYG-редактор (открывается при редактировании страницы); </p><p>2. Встроенные темы - возможность изменения цветовой схемы сайта. Также можно создать цветовую схему (рис. 3); </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image4.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb4.png?w=628&amp;h=202" alt="image" width="96%" title="image"/></a></p><p>Рис. 3. Меню выбора цветовой схемы сайта </p><p>3. Встроенные темы и главная страница - на основе главной страницы можно создать собственную главную страницу и поработать с элементами на ней, а также со стилями; </p><p>4. Возможность создать дизайн любой сложности - в этом случае также ведется работа над созданием главной страницы и стилей, но уже профессиональными веб-студиями (пример хорошего дизайна - <a href="http://ferrari.com/" target="_blank">http://ferrari.com/</a>) </p><p>Рассмотрим структуры страницы и поймем, что нужно сделать дальше.</p><h2>Главные страницы (Master Pages)</h2><br><p>Если говорить про структуру страницы в целом, то она состоит из главной страницы и контента (рис. 4) Таким образом, основная работа при создании веб-сайта с использованием SharePoint - создание главной страницы. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image5.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb5.png?w=275&amp;h=133" alt="image" width="275" height="133" title="image"/></a></p><p>Рис. 4. Общая структура страницы </p><p>На рис. 5 изображена структура страницы SharePoint. Как вы можете видеть, главная страница включает ленту (которую можно скрыть), заголовок, область для контента и зону для панели разработчика. Безусловно, вы можете создать главную страницу, которая по структуре может не соответствовать изображенной на рисунке ниже. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image6.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb6.png?w=628&amp;h=385" alt="image" width="96%" title="image"/></a></p><p>Рис. 5. Структура страницы </p><p>Далее рассмотрим, как можно создать главную страницу, для данной задачи идеально подходит SharePoint Designer 2010, предоставляющий больше возможностей для работы с SharePoint, чем браузер. В частности, можно поработать с кодом страниц.</p><h2>SharePoint Designer</h2><br><p>Как вы знаете, в SharePoint 2010 есть следующие типы главных страниц </p><ul><li><em>default</em><em>.</em><em>master</em> - страница, оставшаяся от SharePoint 2007. <em>Действия сайта</em> в правой части, отсутствует лента;</li><li><em>v</em><em>4.</em><em>master</em> - основная страница для SharePoint 2010;</li><li><em>minimal</em><em>.</em><em>master</em> - страница почти ничего не содержит, используется для приложения поиска и Office Web Apps. Навигация отсутствует;</li><li><em>simple</em><em>.</em><em>master</em> - используется для страниц ошибок и авторизации; </li><li><em>nightandday</em><em>.master</em> - появляется при активации <em>Инфрастуктуры публикации </em><em>SharePoint</em><em> Server</em>.</li></ul><p>Лучше всего использовать minimal.master. Создайте копию, а дальше работайте с ней в SharePoint Designer 2010, вставляя туда HTML-разметку, CSS или элементы управления. </p><p>Для работы со стилями в SharePoint Designer на ленте есть вкладка <em>Стиль </em>(рис. 6), функционал которой размещен в четырех группах </p><ul><li>Главная страница - управление подключениями главных страниц;</li><li>Создание - создание и управление стилями;</li><li>Применение стилей - выбор режима применения стиля;</li><li>Свойства - свойства тега, CSS, страницы или выбранного элемента.</li></ul><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image7.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb7.png?w=628&amp;h=60" alt="image" width="96%" title="image"/></a></p><p>Рис. 6. Вкладка <em>Стиль</em> на ленте SharePoint Designer 2010 </p><p>После внесения изменений нужно сохранить файл, и опубликовать на портал в качестве основного документа. Для того, чтобы использовалась созданная нами главная страница, нужно указать ее в качестве главной (рис. 7), для чего в <em>параметрах сайта</em> нужно выбрать <em>Главная страница</em>. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image8.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb8.png?w=628&amp;h=214" alt="image" width="96%" title="image"/></a></p><p>Рис. 7. Выбор главной страницы сайта </p><p>После этого дизайн вашего веб-сайта в зависимости от вложенных усилий станет отличаться от стандартного. </p><p>Если вы хотите, чтобы контент на страницах располагался не в одном блоке, то придется создать <em>Макет страницы</em>.</p><h2>Макет страницы</h2><br><p>Макет страницы (page layout) - это шаблон для отображения контента. При создании страницы нужно указать ее макет (рис. 8). Как вы видите, в SharePoint уже есть некоторое количество готовых макетов, но при необходимости можно создать свой макет. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image9.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb9.png?w=628&amp;h=197" alt="image" width="96%" title="image"/></a></p><p>Рис. 8. Выбор макета при создании новой страницы </p><p>Чтобы создать новый макет страницы, создайте новый тип контента, наследуемый от страницы. Для этого типа контента укажите поля, которые в него входят, например, изображение, адрес электронной почты, поле для метаданных (работу с которыми мы будем рассматривать позже) и т.д. </p><p>После этого перейдите в каталог главных страниц и создайте там новый макет страницы (рис. 9) на основе нашего типа контента. </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image10.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb10.png?w=628&amp;h=300" alt="image" width="96%" title="image"/></a></p><p>Рис. 9. Создание нового макета страницы </p><p>Далее откройте макет (представляет собой ASPX страницу) для редактирования в SharePoint Designer. При этом можете добавить созданные вами поля из типа контента на макет страницы. После работы сохраните файл. Теперь можно создавать новые страницы на основе созданного макета страниц. </p><p>Итак, в этой статье мы рассмотрели возможности SharePoint для создания брендинга.</p> http://www.microsoft.com/rus/business/smb/blog/133/ Microsoft for Business <p>В современном мире очень трудно переоценить значение всемирной сети интернет. Сейчас без интернета не могут обходиться практически не одна организация или предприятие. Учитывая эту тенденцию, корпорация Microsoft предложила концепцию облака, представляющую из себя IT-ресурсы, такие как программные решения, платформа приложений и инфраструктура, предоставляемые пользователям как сервисы с помощью Интернет технологий и оплачиваемые по факту использования. Для реализации этой концепции корпорацией был создан Office 365, коммерческое использование, которого началось в июне прошлого года. А с 30-го ноября Microsoft объявила о доступности облачных сервисов и для российских пользователей. </p><p><img src="../../imgs/blogs/132/img001.png" alt="" width="96%" /></p><p> Office 365 это пакет облачных сервисов включающий новейшие технологии совместной работы и объединенных коммуникаций для организаций любого размера, включающий Lync Online, SharePoint Online, Exchange Online, веб приложения Office и Office Профессиональный плюс, с гарантированной доступностью в течение 99,9 % времени, предназначенный для эффективной работы бизнеса.</p><p><img src="../../imgs/blogs/132/img002.png" alt="" width="365" height="432" /></p><p> Lync Online дает возможность клиентам обмениваться мгновенными сообщениями, устанавливать связь с другими пользователями с помощью фотографий контактов, веб-канала активности и интерактивных карточек контактов Lync в Office, обеспечивает индикацию присутствия пользователя в сети. Позволяет легко подключаться к веб-совещаниям из окна обмена мгновенными сообщениями, с возможностью аудио и видеосвязи, и предоставления общего доступа к рабочему столу. Есть возможность совместной работы Lync Online и сервера Lync, установленного в компании локально. Что позволяет использовать все возможности объединенных коммуникаций, в том числе корпоративную голосовую связь. </p><p> SharePoint Online является идеальной платформой для организации совместной работы сотрудников. Он позволяет создавать личные сайты сотрудников, позволяющие обеспечить совместное использование документов и управление ими. Сайты групп, позволяющие управлять важными проектами и синхронизировать данные необходимые для работы группы. Внутрикорпоративные сайты необходимые для поддержания в актуальном состоянии данных и публикации новостей и объявлений. А также интернет-сайты, позволяющие легко создавать веб-сайты для широкой аудитории.</p><p>Exchange Online предоставляет клиентам электронную почту бизнес-класса. Он позволяет обеспечить и работу внутрикорпоративной почты, и обмен почтовыми сообщениями с внешними контактами. При этом гарантируется первоклассная защита почты от вирусов и спама, которая уже включена в подписку Exchange Online. Надежность защиты гарантируется регулярным обновлением баз сигнатур.</p><p><img src="../../imgs/blogs/132/img003.png" alt="" width="96%" /></p><p> Сервис позволяет очень точно настроить правила обработки сообщений для того, чтобы обеспечить безопасность и соответствие нормативным документами и юридическим требованиям. С помощью простого и удобного пользовательского графического интерфейса есть возможность настроить структуру правил входящей почты, которые будут применяться ко всем сообщениям и внутри организации, и вне её.</p><p><img src="../../imgs/blogs/132/img004.png" alt="" width="96%" /></p><p> Все управление сервисами Office 365 может осуществляется непосредственно с сайта. При этом у администраторов есть возможности управления и самими сервисами, и пользователями сервисов, что позволяет использовать Office 365 даже самым маленьким организациям, не имеющим вообще ни какой IT-инфраструктуры. В то же время для крупных организаций есть возможность интеграции и федерации облачных сервисов Office 365 с IT-инфраструктурой предприятия. Корпорация Microsoft старается максимально упростить для пользователей работу с интернет сервисами. Почти одновременно с объявлением о доступности Office 365 для России была выпущена финальная версия модуля интеграции для Small Business Server 2011 Essentials, который позволяет осуществлять управление сервисами Office 365 непосредственно из консоли управления сервера.<img src="../../imgs/blogs/132/img005.png" alt="" width="459" height="348" /></p><p>Пакет доступен по подписке и имеет несколько тарифных планов, вместо традиционных лицензий, по которым оплата осуществляется за пользователя в месяц, аналогично тому, как предоставляются услуги мобильными операторами.</p><p> Специально для организаций и компаний малого бизнеса, насчитывающих до 25 пользователей, предназначен тарифный план P1, обеспечивающий повсеместный доступ к электронной почте, контактам, календарям и важным документам на всех устройствах с помощью онлайн-служб. При этом стоимость подписки на одного пользователя составляет 198 рублей в месяц. Подключение по этому тарифному плану дает возможности использования веб-приложений Office для создания и простого редактирования документов в браузере, инструменты создания публичного веб-сайта компании, средства совместной работы с документами, онлайн общения, корпоративную электронную почту и доступ к календарям команды. Безопасность и надежность обеспечивается с помощью инструментов безопасности Microsoft, антивируса и анти-спама. Есть возможность использовать сайты групп, защищенные паролем. Электронная почта позволяет работать не только с компьютерами, но и с Windows Phone, iPhone и BlackBerry. Для нее выделяется 25 гигабайт, плюс 25 мегабайт для приложений. Для вебсайта выделяется 10 гигабайт, плюс 500 мегабайт на пользователя.</p><p>Office 365 для среднего и крупного бизнеса позволяет осуществлять синхронизацию с Active Directory, масштабирование до 50 пользователей и более, принудительную архивацию, дает возможность использовать корпоративные службы BlackBerry и предоставляет круглосуточную поддержку по телефону. Всего доступно четыре тарифных плана, по которым пользователи получают возможности использования различных компонентов.</p><p><img src="../../imgs/blogs/132/img006.png" alt="" width="96%" /></p><p> По тарифным планам E3 и E4 у пользователей есть не только возможность использовать веб-приложения Office, но и право использовать Office Профессиональный плюс на клиентских компьютерах. Для использования программного обеспечения на клиентских компьютерах дистрибутив скачивается непосредственно с сайта Office 365. После установки Office Subscription Agent запрашивает у пользователя реквизиты, загружает 45-дневный ключ с Office Subscription Service и активирует Office этим ключом. В течение следующих 45-ти дней агент подписки проверяет, не закончилась ли подписка у данного пользователя. Интересно, что каждый пользователь Office 365 с тарифным планом Е3 или Е4 имеет право установить Office Профессиональный плюс на 5 различных устройств, включая устройства для личного использования (например, на домашнем ПК).</p><p><img src="../../imgs/blogs/132/img007.png" alt="" width="96%" /></p><p> Все тарифные планы предоставляют клиентам возможность использовать электронную почту бизнес-класса, доступ к которой возможен и через Outlook, и через имеющийся в ней полнофункциональный веб-клиент Outlook Web Access, и с помощью мобильных устройств. <br />Кроме того, вы можете приобрести любую из служб Office 365 отдельно. Например, если вам нужны только базовые возможности корпоративной электронной почты - обратите внимание на базовую подписку на Exchange Online, стоимость которой составляет всего 66 рублей на пользователя в месяц.</p><p>Таким образом, Office 365 позволяет компаниям и организациям малого и среднего бизнеса реально снизить затраты благодаря минимальным капитальным вложениям в оборудования, быстрому развертыванию и низким, предсказуемым операционным затратам. Сотрудники получают возможность комфортной работы с компьютера, телефона, или, используя любой браузер, через Интернет, где бы они ни находились. При этом клиенты получают всегда актуальные версии программного обеспечения, юридическое и нормативное соответствие, а также высокую надежность работы - 99,9 %, гарантированную соглашением об уровне сервиса, оплачивая только необходимые им сервисы.</p> http://www.microsoft.com/rus/business/smb/blog/132/ Microsoft for Business <p>Управление группами в Windows Small Business Server 2011</p><p align="center"><iframe width="560" height="400" src="http://www.youtube.com/embed/uqaXF_r_MFM?rel=0" frameborder="0" allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/131/ Microsoft for Business <p>Многие компании используют SharePoint 2010 в качестве платформы для построения корпоративных порталов для внутреннего использования. Но немногие знают, что SharePoint также можно использовать для создания публичных веб-сайтов. Особенно полезна данная возможность для тех компаний, которые уже используют SharePoint, позволяющая снизить затраты на обучение персонала. </p><ul><li>Введение</li><li>Интранет и интернет - различия и сходства </li><li>Лицензирование </li></ul><h2>Введение</h2><br><p>На сайте <a href="http://www.wssdemo.com/livepivot/" target="_blank">Top SharePoint internet Sites</a> можно посмотреть некоторые примеры сайтов, реализованные с помощью SharePoint для интернет-сайтов. При этом обратите внимание на внешний вид сайтов, по которому иногда сложно догадаться, что он сделан с использованием SharePoint. В этом плане очень удачным получился сайт <a href="http://www.ferrari.com/" target="_blank">Ferrari</a> (рис. 1). </p><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb.png?w=628&amp;h=303" alt="image" width="96%" title="image"/></a></p><p>Рис. 1. Пример веб-сайта, сделанного с помощью SharePoint </p><p>Работать с веб-сайтом можно при помощи SharePoint Designer 2010 или делать все через браузер, используя все возможности платформы в управлении веб-контентом. </p><p>Преждем чем начать работу, рассмотрим некоторые особенности SharePoint для интернет-сайтов, позволяющие лучше понять, как использовать возможности платформы по максимуму.</p><h2>Интранет и интернет - различия и сходства</h2><br><p>Для начала нужно понять различия сайта на основе шаблона публикации (рис. 2) в случае его работы в интранете и интернете. </p><ul><li>Посетители публичного сайта - анонимные пользователи. Кроме этого, на сайте могут быть авторы, утвердители контента и разработчики </li><li>Для веб-сайтов часто используются варианты, когда контент доступен на разных языках в зависимости от выбора пользователя. При этом возможность многоязычного интерфейса может быть не нужна, т.к. анонимные пользователи видят только содержимое на страницах публикации </li><li>На веб-сайтах из всего многообразия служб SharePoint чаще всего используются только поиск и служба метаданных для классификации содержимого и указания ключевых слов </li></ul><p><a href="http://dplotnikov.files.wordpress.com/2012/01/image1.png"><img src="http://dplotnikov.files.wordpress.com/2012/01/image_thumb1.png?w=628&amp;h=407" alt="image" width="96%" title="image"/></a></p><p>Рис. 2. Внешний вид сайта, созданного из шаблона публикации </p><p>Вместе с тем, нужно понимать общие черты сайтов, создаваемых для интранет и экстранет </p><ul><li>Занимайтесь планированием, при этом можете начать работу с создания сайта для интранета </li><li>Продумайте дизайн вашего сайта </li><li>Продумайте использование возможности по публикации контента </li><li>Создайте удобную и понятную для пользователей навигацию </li><li>Используйте службу метаданных для улучшения результатов поиска </li></ul><h2>Лицензирование</h2><br><p>Самый тонкий момент при работе с публичными интернет сайтами - лицензирование. </p><p>При использовании SharePoint Server 2010 нужна серверная лицензия на SharePoint и отдельная лицензия SharePoint Server 2010 для интернет-сайтов. При этом не нужно покупать клиентские лицензии. Тут стоит различать стандартную серверную лицензию для интернет-сайтов, предназначенную для небольших и средних компаний и поддерживает только один домен и поддомены. И также есть лицензия Enterprise, включающая эти же возможности, а также поддержка нескольких доменов и право использования Microsoft FAST Search для веб-сайтов. Подробную информацию по лицензированию можно посмотреть <a href="http://sharepoint.microsoft.com/ru-ru/buy/Pages/Licensing-Details.aspx" target="_blank">здесь</a>. </p><p>С появлением Office 365 можно создавать публичные веб-сайты с помощью SharePoint Online. При этом в подписку уже входит возможность создания одного публичного веб-сайта (создается как отдельная коллекция сайтов). </p><p>Таким образом, обдумав описанное выше, можно начинать создание публичного веб-сайта, чем мы и займемся в следующих статьях.</p> http://www.microsoft.com/rus/business/smb/blog/130/ Microsoft for Business <p>Microsoft Windows MultiPoint Server 2011 позволяет использовать дешевые рабочие станции, подключенные через USB, локальную сеть, или напрямую к видеокарте. Он фактически является сервером терминалов, позволяющим работать, с необходимым пользователям программным обеспечением, через службу удаленных рабочих столов с самых разных устройств. Windows MultiPoint Server 2011 - это вторая версия продукта, предназначенного, в первую очередь, для образовательных учреждений, а также организаций и учреждений малого и среднего бизнеса, позволяющий многочисленным пользователям совместно использовать один компьютер. При этом каждый пользователь может получить свою собственную, независимую и знакомую среду Windows, используя только собственный монитор, клавиатуру и мышь.</p><p><img src="../../imgs/blogs/129/img001.png" alt="" width="96%" /></p><p>В качестве клиентов могут использоваться и обычные рабочие станции, и традиционные тонкие клиенты, и USB-клиенты, и даже просто мониторы вместе с комплектами клавиатура/мышь подключенные непосредственно к дополнительным выходам видеокарт и USB-портам, причем есть возможность даже на одном мониторе независимо работать нескольким пользователям. </p><p><img src="../../imgs/blogs/129/img002.png" alt="" width="96%" /></p><p>Если есть возможность разместить рабочие места рядом с машиной, на которой установлен Windows MultiPoint Server 2011, то можно, установив в нее много-портовую видеокарту, использовать прямое подключение мониторов и комплектов клавиатура/мышь, или организовать рабочие места с помощью многофункциональных USB-устройств.</p><p><img src="../../imgs/blogs/129/img003.png" alt="" width="96%" /></p><p>В случае если требуется разместить рабочие места на большом расстоянии от WMS 2011, то есть возможность использовать подключение клиентов по локальной сети, используя в качестве клиентов, как обычные компьютеры и ноутбуки, так сетевые мониторы, тонкие клиенты, или устаревшие компьютеры. Также есть возможность комбинировать все возможные типы подключений.</p><p><img src="../../imgs/blogs/129/img004.png" alt="" width="96%" /></p><p>Главным преимуществом этого продукта является чрезвычайная простота настройки и администрирования, позволяющая администратору очень гибко управлять, как работой сразу всех клиентов, не зависимо от того, через какие устройства они работают, так и сеансом каждого пользователя, или группы. Для этого в WMS 2011 есть специальный инструмент &quot;Desktop Orchestration&quot;, который представляет собой простой набор встроенных функций, позволяющий администратору легко контролировать все действия на каждой станции, и управлять ими. </p><p>Благодаря возможности дать задание и показать необходимый материал, с примерами выполнения задач, сразу всем ученикам, а также возможности, по мере выполнения, индивидуальной работы с каждым учащимся, Windows MultiPoint Server 2011 идеален для использования в сфере образования. Но, это далеко не единственная область его применения. WMS 2011 очень удобен для разного рода диспетчерских служб и служб технической поддержки, потому, что позволяет руководителю постоянно контролировать работу всей группы, а в случае необходимости, оперативно оказать помощь сотруднику, или переключить клиента на себя. Можно его использовать и в качестве традиционного сервера терминалов, причем, поддержка функции RemoteFX дает возможность использовать рабочие места даже для работ связанных с трехмерной графикой, для которых традиционно приходится использовать очень мощные машины. Например, проектирования, создания чертежей и трехмерных моделей. Разумеется, для таких задач потребуется значительно более мощная машина, чем для повседневной офисной работы. Примерные требования к компьютеру, для различных вариантов использования Windows MultiPoint Server 2011, можно посмотреть в этой таблице.</p><table border="1" cellspacing="0" cellpadding="0" width="100%"><tr><td width="158" valign="top"><p>Сценарии использования</p></td><td width="87" valign="top"><p>До 4-х клиентов</p></td><td width="87" valign="top"><p>5-6 клиентов</p></td><td width="106" valign="top"><p>7-10 клиентов</p></td><td width="106" valign="top"><p>11-14 клиентов</p></td><td width="115" valign="top"><p>15-20 клиентов</p></td></tr><tr><td width="158" valign="top"><p>Офисные приложения, Интернет-серфинг, <br />Бизнес-приложения</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 2GB</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 4GB</p></td><td width="106" valign="top"><p>CPU: 4Core <br /><br />RAM: 6GB</p></td><td width="106" valign="top"><p>CPU: 4Core <br /><br />RAM: 8GB</p></td><td width="115" valign="top"><p>CPU: 4Core + Multithreading<br />или 6Core<br />RAM: 8GB</p></td></tr><tr><td width="158" valign="top"><p>Офисные приложения, Интернет-серфинг, <br />Бизнес-приложения,<br />Периодическая работа с видео.</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 2GB</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 4GB</p></td><td width="106" valign="top"><p>CPU: 4Core <br /><br />RAM: 6GB</p></td><td width="106" valign="top"><p>CPU: 4Core + Multithreading<br />или 6Core<br />RAM: 8GB</p></td><td width="115" valign="top"><p>CPU: 4Core + Multithreading<br />или 6Core<br />RAM: 8GB</p></td></tr><tr><td width="158" valign="top"><p>Офисные приложения, Интернет-серфинг, <br />Бизнес-приложения,<br />Частая работа с видео.</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 2GB</p></td><td width="87" valign="top"><p>CPU: 2Core <br /><br />RAM: 4GB</p></td><td width="106" valign="top"><p>CPU: 4Core + Multithreading<br />или 6Core<br />RAM: 6GB</p></td><td width="106" valign="top"><p>CPU: 4Core + Multithreading<br />или 6Core<br />RAM: 8GB</p></td><td width="115" valign="top"><p>CPU: 4Core + Multithreading<br />или 8Core<br />RAM: 8GB<br />Тонкие клиенты с поддержкой RemoteFX</p></td></tr></table><br /><p>Эти рекомендации представляют собой только примерные требования. Фактические требования будут зависеть от реальной рабочей нагрузки и применяющихся аппаратных средств. </p><p> Новый продукт доступен в редакциях Стандарт и Премиум, отличающихся количеством поддерживаемых пользователей, возможностями работы в домене и использования виртуализации. </p><table border="1" cellspacing="0" cellpadding="0" width="100%"><tr><td width="120" valign="top">&nbsp;</td><td width="140" valign="top"><p>Windows MultiPoint Server 2011 Standard</p></td><td width="139" valign="top"><p>Windows MultiPoint Server 2011 Premium</p></td></tr><tr><td width="120" valign="top"><p>Каналы поставки</p></td><td width="140" valign="top"><p>OEM, ROK, VL + OLP</p></td><td width="139" valign="top"><p>OEM, ROK, VL + OLP<br />VL Academic,<br />OEM Academic</p></td></tr><tr><td width="120" valign="top"><p>Кол-во сессий</p></td><td width="140" valign="top"><p>Максимум 10</p></td><td width="139" valign="top"><p>Максимум 20</p></td></tr><tr><td width="120" valign="top"><p>Объем памяти</p></td><td width="140" valign="top"><p>До 8 Гигабайт</p></td><td width="139" valign="top"><p>До 32 Гигабайт</p></td></tr><tr><td width="120" valign="top"><p>Процессоры</p></td><td width="140" valign="top"><p>Максимум 1</p></td><td width="139" valign="top"><p>Максимум 2</p></td></tr><tr><td width="120" valign="top"><p>Работа в домене</p></td><td width="140" valign="top"><p>Не поддерживается</p></td><td width="139" valign="top"><p>Поддерживается</p></td></tr><tr><td width="120" valign="top"><p>Виртуализация</p></td><td width="140" valign="top"><p>Не разрешена</p></td><td width="139" valign="top"><p>1 + 1</p></td></tr></table><br /><p>Премиум редакция WMS 2011 не только позволяет работать в домене, но и имеет возможность интеграции со Small Business Server 2011 Essentials, поскольку он специально разработан так, чтобы быть важным сопутствующим сервером в сети SBS. Что существенно расширяет его возможности и, позволяя создавать очень интересные, интегрированные решения для самых разных отраслей малого бизнеса. При этом Windows MultiPoint Server 2011 полностью интегрируется как клиентская машина с комплектом инструментальных средств SBS, обеспечивая полную поддержку, контроль через средства framework, доступность для удаленного доступа. Дает возможность использования виртуализации и запуска WMS и SBS 2011 Essentials на одном сервере, благодаря использованию Hyper-V.</p><p> Microsoft Windows MultiPoint Server 2011 можно приобрести, как в предустановленном виде, в составе полностью собранного и настроенного комплекса, так и в канале корпоративного лицензирования. Кроме того, можно приобрести продукт также в виде комплекта ROK, при покупке сервера производства таких крупных производителей компьютерной техники как Hewlett Packard, Fujitsu и др. Есть также возможность скачать пробную версию и протестировать Windows MultiPoint Server 2011, прежде чем его приобрести. Причем, для преобразования пробной версии в полнофункциональную, переустановка не потребуется, достаточно будет ввести ключ от приобретенной коммерческой версии.</p><p>Основными достоинствами этого продукта являются исключительная простота установки, использования и администрирования, поскольку он разработан специально для пользователей имеющих небольшой опыт в IT-сфере. А также возможность значительной экономии средств на закупку техники. Потому, что Windows MultiPoint Server 2011 позволяет использовать в качестве клиентов самые разные устройства, в том числе и устаревшие компьютеры, не имеющие современных вычислительных мощностей. При этом он позволяет одновременно использовать различные клиенты, обеспечивая абсолютно одинаковое управление всеми сеансами. </p> http://www.microsoft.com/rus/business/smb/blog/129/ Microsoft for Business <h2>Описание доклада</h2><br /><ol><li>Типы данных, стандартные контролы</li><li>Управление повторяющимися секторами (добавление, удаление)</li><li>Вызов Submit из кода </li><li>Использование правил для форматирования, валидации полей </li><li>Использование цифровых подписей </li><li>Обращение к спискам SharePoint</li><li>Вызов рабочего процесса с InfoPath формы</li></ol><IFRAME style="WIDTH: 470px; HEIGHT: 390px" src="http://www.techdays.in.ua/LectureViewer.aspx?LectureId=84e1555a-bc27-4198-a283-de06d89c73b0" frameBorder=0 scrolling=no mce_src="http://www.techdays.in.ua/LectureViewer.aspx?LectureId=84e1555a-bc27-4198-a283-de06d89c73b0"></IFRAME> http://www.microsoft.com/rus/business/smb/blog/128/ Microsoft for Business <p>С каждым годом объем обрабатываемой в организации информации увеличивается. Все возрастающие нормативные требования, необходимость оцифровки бумажных документов, требования к хранению архивов приводят к тому, что количество данных, которые необходимо хранить и сроки хранения этих данных все время увеличиваются. В результате чего даже у небольших организаций появляется необходимость в специализированном хранилище данных, которое обеспечивало бы высокую надежность хранения, быстрый доступ к хранящимся данным и возможность интеграции такого хранилища в существующую IT-инфраструктуру.</p><p> Для того, чтобы помочь предприятиям и организациям решить проблему хранения данных, в уходящем году корпорация Microsoft выпустила сразу целую линейку специализированных серверов хранения - Windows Storage Server 2008 R2.</p><p><img src="../../imgs/blogs/127/img001.png" alt="" width="96%" /><br />Наиболее мощным продуктом из этой линейки является Windows Storage Server 2008 R2 Enterprise, позволяющий создавать объединенные в кластеры сетевые хранилища высокой доступности. Флагман линейки серверов хранения предназначен, в основном, для крупных корпораций, а также компаний среднего бизнеса, имеющих высокие требования к доступности и надежности хранения данных.</p><p> Windows Storage Server 2008 R2 Standard позиционируется, в основном, как решение для организаций среднего бизнеса и офисов филиалов. Но имеющиеся у него возможности, такие как, например, возможности неограниченного масштабирования, поддержка интеграции с Active Directory и эффективность хранения данных позволяют использовать эту редакцию и в малом бизнесе, и в очень крупных компаниях.</p><p>Для предприятий и организаций малого бизнеса, учитывая многообразие таких компаний и диапазон стоящих перед ними задач, Microsoft предлагает не одну, а сразу две довольно серьезно отличающихся по функционалу редакции. Это Windows Storage Server 2008 R2 Workgroup, поддерживающий одну из наиболее современных технологий передачи данных iSCSI и предназначенный, в основном, для верхнего сегмента малого бизнеса. И Windows Storage Server 2008 R2 Essentials, обладающий практически всем функционалом, также выпущенного в этом году, домашнего сервера Windows Home Server 2011, но, кроме этого, поддерживающий аппаратный RAID, умеющий работать в домене и обеспечивающий работу до 25 пользователей. </p><table border="1" cellspacing="0" cellpadding="0" width="100%"><tr><td width="262" rowspan="2" valign="top"><p>&nbsp;</p></td><td width="94" rowspan="2" valign="top"><p align="center">Windows Home Server 2011</p></td><td width="305" colspan="4" valign="top"><p align="center">Windows Storage Server 2008 R2</p></td></tr><tr><td width="76" valign="top"><p align="center">Essentials</p></td><td width="85" valign="top"><p align="center">Workgroup</p></td><td width="68" valign="top"><p align="center">Standard</p></td><td width="76" valign="top"><p align="center">Enterprise</p></td></tr><tr><td width="262" valign="top"><p>Максимальное кол-во процессоров</p></td><td width="94" valign="top"><p align="center">1</p></td><td width="76" valign="top"><p align="center">1</p></td><td width="85" valign="top"><p align="center">4</p></td><td width="68" valign="top"><p align="center">4</p></td><td width="76" valign="top"><p align="center">8</p></td></tr><tr><td width="262" valign="top"><p>Максимальный объем памяти </p></td><td width="94" valign="top"><p align="center">8 GB</p></td><td width="76" valign="top"><p align="center">8 GB</p></td><td width="85" valign="top"><p align="center">32 GB</p></td><td width="68" valign="top"><p align="center">32 GB</p></td><td width="76" valign="top"><p align="center">2 TB</p></td></tr><tr><td width="262" valign="top"><p>Аппаратный RAID</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Максимальное кол-во клиентов</p></td><td width="94" valign="top"><p align="center">10</p></td><td width="76" valign="top"><p align="center">25</p></td><td width="85" valign="top"><p align="center">25</p></td><td width="68" valign="top"><p align="center">?</p></td><td width="76" valign="top"><p align="center">?</p></td></tr><tr><td width="262" valign="top"><p>Интегрированная консоль управления</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td></tr><tr><td width="262" valign="top"><p>Монитор состояния резервного копирования клиентов</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td></tr><tr><td width="262" valign="top"><p>Потоковая передача мультимедиа (Media Streaming)</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td></tr><tr><td width="262" valign="top"><p>Удаленное рабочее место (Remote Web Workplace)</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td></tr><tr><td width="262" valign="top"><p>Общий доступ к файлам (SMB и NFS)</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Резервное копирование серверов</p></td><td width="94" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Репликация DFS (DFS-Replication) </p></td><td width="94" valign="top"><p align="center">есть1 </p></td><td width="76" valign="top"><p align="center">есть1 </p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Инфраструктура классификации файлов (FCI)</p></td><td width="94" valign="top"><p align="center">есть1 </p></td><td width="76" valign="top"><p align="center">есть1 </p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Управление ресурсами файлового сервера (FSRM)</p></td><td width="94" valign="top"><p align="center">есть1 </p></td><td width="76" valign="top"><p align="center">есть1 </p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Присоединение к домену</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">есть</p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Shared block storage (iSCSI Target + Boot)</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">есть</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Сетевая инфраструктура <br />(DHCP, DNS и WINS)</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Контроллер домена только для чтения (RODC)</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Один экземпляр хранения</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Виртуализация (Hyper-V host support)</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">есть</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Branch Cache - Hosted Cache</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Кластеризация (including AD/DNS)</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr><tr><td width="262" valign="top"><p>Простая настройка кластера</p></td><td width="94" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">-</p></td><td width="85" valign="top"><p align="center">-</p></td><td width="68" valign="top"><p align="center">-</p></td><td width="76" valign="top"><p align="center">есть</p></td></tr></table><p>1 - недоступно через интегрированную консоль управления.</p><p>Такое значительно совпадение функционала самой младшей редакции Windows Storage Server 2008 R2 Essentials и Windows Home Server далеко не случайно. Дело в том, что проблема надежного хранения данных наиболее остро стоит как раз именно перед мелкими организациями, имеющими очень ограниченные IT-ресурсы, и вынужденных обходится без профессиональных IT-специалистов. В таких организациях очень часто на одном и том же компьютере могут выполняться совершенно разные задачи, а важные для бизнеса данные, как правило, имеются только в одном экземпляре. По этой причине вероятность инцидентов у них значительно выше, чем в более крупных организациях. Причем любая проблема может привести к потере критически важной информации, что чревато очень серьезными последствиями, вплоть до потери бизнеса. А надежных и не сложных в эксплуатации средств хранения, для малых предприятий, в течение длительного времени просто не существовало. Поэтому когда в 2007 году появился Windows Home Server, обладающий мощнейшим централизованным архивированием, а также очень простой установкой, настройкой и администрированием, его стали широко использовать не только для домашних целей, но и в качестве сервера резервного копирования в небольших организациях. Однако домашний сервер изначально не предназначался для использования в этой роли и пользователи из небольших организаций стали просить разработчиков добавить в него те функции, которых особенно не хватало для централизованного хранилища компании. </p><p>Проанализировав обращения пользователей, в Microsoft решили не добавлять нужный для бизнеса функционал в домашний сервер, а сделать специализированный сервер хранения с максимально близкими характеристиками, чтобы облегчить для пользователей переход на новый продукт. В результате получился уникальный, чрезвычайно надежный и современный продукт с необыкновенно простыми установкой, настройкой и администрированием, сделать которые по силам даже обычным пользователям, с минимальными знаниями в сфере IT.</p><p>Windows Storage Server 2008 R2 Essentials позволяет использовать его в качестве сетевого хранилища как в одно ранговой сети, так и в домене Active Directory, в том числе и в домене SBS. </p><p>Причем есть возможность присоединения к домену не только во время начальной конфигурации, но и в последующем, непосредственно во время работы. Работая в домене, он может осуществлять авторизацию пользователей либо самостоятельно, либо, с помощью авторизации домена, либо, используя режим mix-mode, когда часть пользователей авторизуется в домене, а часть непосредственно на WSS 2008R2 Essentials.</p><p><img src="../../imgs/blogs/127/img002.png" alt="" width="501" height="460" /></p><p>Очень важной является также возможность использовать Windows Storage Server 2008 R2 Essentials не только в качестве единственного сетевого хранилища в домене, а и совместно с другими серверами хранения. Что позволяет, в случае необходимости, использовать данную редакцию WSS 2008R2 даже в крупных организациях. Например, в случае необходимости обеспечить надежное хранение данных в отдаленных филиалах или офисах.</p><p>У старших редакций Windows Storage Server 2008 R2 отсутствуют возможности, унаследованные WSS 2008R2 Essentials от домашнего сервера, но зато гораздо больше возможностей для обеспечения надежного и эффективного хранения данных, а также обеспечения продуктивной работы с ними. В них используются самые современные технологии хранения, передачи и доступа, поэтому для установки, настройки, конфигурирования и администрирования старших редакций WSS 2008R2 требуются уже более серьезные знания . Зато и возможностей они предоставляют значительно больше.</p> http://www.microsoft.com/rus/business/smb/blog/127/ Microsoft for Business <p>Управление пользователями в Windows Small Business Server 2011</p><p align="center"><iframe width="560" height="315" src="http://www.youtube.com/embed/7iWemdfUJNo" frameborder="0" allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/126/ Microsoft for Business <h2>Введение</h2><br><p>Во многих компаниях используются перемещаемые профили. Такие профили обычно используются в том случае, когда пользователям нужно предоставить возможность получения доступа непосредственно к своему профилю при выполнении входа в домен из любого компьютера в организации. А как уже говорилось в статье Пользовательские профили и их управление. Часть 1, пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Соответственно, изменения, вносимые пользователем в свой профиль, записываются локально, а также для использования при следующем входе в систему, копируются в профиль пользователя, расположенный на сервере.</p><p>Вроде бы все хорошо и пользователи смогут всегда получать доступ к своей информации, но при использовании перемещаемых профилей есть несколько негативных моментов.; Во-первых, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере, если же он ни разу не входил в систему с данного компьютера, то для него создается новый (временный) профиль локального пользователя.</p><p>И во-вторых, по вполне понятным причинам, размер пользовательского профиля со временем может увеличиваться. Если у пользователя в папках профиля хранится большое количество документов или ярлыков на рабочем столе - не страшно, эти файлы быстро скопируются на компьютер при входе в систему. Но если ваш пользователь знатный меломан и хранит в папке <strong>Музыка</strong> огромную фонотеку или, не дай бог, скопировал в папку <strong>Видео</strong> фильм в HD качестве, что же произойдет при выполнении входа в систему на новом компьютере? Файлы будут копироваться бесконечно долго и, в конечном счете, виноваты будете вы, операционная система Windows, Билл Гейтс и многие другие.</p><p>Именно для того чтобы избежать интенсивного использования трафика в подобных ситуациях, в функционале групповой политики предусмотрен компонент перенаправления папок. Именно о перенаправлении папок и пойдет речь в данной статье.</p><h2>Использование перенаправления папок</h2><br><p>Итак, как вы, скорее всего, уже догадались из вводной части этой статьи, перенаправление папок позволяет вам сэкономить место на локальном диске пользователя при использовании локальных пользовательских профилей, а также существенно сократить трафик при загрузке перемещаемого профиля в случае использование последнего. Данная функциональная возможность позволяет изменять расположение определенных папок пользовательского профиля и все файлы, помещенные в такие папки, будут сохраняться в новом расположении, например на общем сетевом ресурсе. Какие же преимущества можно отметить у данного функционала? Прежде всего, это доступность данных - пользователь всегда может получить доступ к своим файлам и папкам, даже если вход в систему выполнен из разных компьютеров. Причем, доступ к перенаправленным папкам при помощи технологии автономных файлов для пользователей будет доступен даже при отсутствии подключения к сети организации. Также основным преимуществом является уменьшение размера перемещаемого профиля. Другими словами, данные, расположенные в перенаправленных папках не копируются во время выполнения входа в систему, а синхронизируются в фоновом режиме уже после выполнения входа при помощи технологии автономных файлов. Помимо таких пользовательских папок как <strong>Документы</strong>, <strong>Музыка</strong> или <strong>Видео</strong>, вы можете даже для пользователей, у которых установлено одинаковое программное обеспечение, перенаправить папку <strong>Главное меню</strong> и у всех пользователей из определенной группы безопасности она будет расположена в общедоступной папке.</p><p>Рассмотрим несколько примеров перенаправления папок. Прежде всего, будет создано простое перенаправление папок <strong>Музыка</strong> и <strong>Видео</strong> для всех пользователей, расположенных в подразделении <strong>Продажи</strong>, а после этого будет создано расширенное перенаправление папки <strong>Документы</strong> для пользователей, которые входят в группу безопасности <strong>Продажи</strong>. Для того чтобы реализовать определенные выше задачи, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>. В данной оснастке, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена. Перейдите к узлу <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте новый объект GPO, например, <strong>Перенаправление папок</strong>. Затем в оснастке <strong>Управление групповой политикой</strong> выберите созданный вами объект групповой политики, нажмите на нем правой кнопкой мыши, а затем для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация пользователя\Политики\Конфигурация Windows</strong> и выберите узел <strong>Перенаправление папки</strong>. В этом узле вы можете найти 13 параметров политики, названия которых совпадают с наименованиями соответствующих папок пользовательского профиля. Думаю, сразу стоит обратить внимание на то, что для пользователей операционной системы <a href="http://technet.microsoft.com/ru-ru/windows/bb264763.aspx" target="_blank" title="Посетите техцентр Windows XP">Windows XP</a> вы можете настраивать перенаправление только для пяти папок, а именно для папок <strong>AppData(перемещаемая)</strong> (в <a href="http://technet.microsoft.com/ru-ru/windows/bb264763.aspx" target="_blank" title="Посетите техцентр Windows XP">XP</a> - это папка <strong>Application Data</strong>), <strong>Рабочий стол</strong>, <strong>Документы</strong>, <strong>Изображения</strong> и <strong>Главное меню</strong>. Окно данной оснастки с выбранным узлом <strong>Перенаправление папки</strong> изображено на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-02.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-02_mini_oszone.jpg" alt="*" width="480" height="342"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Узел Перенаправление папки редактора управления групповыми политиками</strong></p><li>Выберите параметр политики <strong>Музыка</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Свойства</strong>. В отобразившемся диалоговом окне <strong>Свойства: Музыка</strong> для изменения доступны параметры, в зависимости от выбранной политики:</li><ul><li><strong>Следовать за папкой Документы</strong>. Этот параметр политики позволяет переместить папку <strong>Музыка</strong>, <strong>Видео</strong> или <strong>Изображения</strong> в папку <strong>Документы</strong>, в качестве дочерней папки. Так как эти три папки подлежат изменениям только в таких операционных системах как Windows Vista и <a href="http://technet.microsoft.com/ru-ru/windows/dd361745.aspx" target="_blank" title="Узнайте больше о Windows 7">Windows 7</a>, а для операционной системы Windows XP такая возможность не предоставляется, при выборе данного параметра политики, она нормально обработается в любой операционной системе;</li><li><strong>Перенаправлять папки всех пользователей в одно расположение (простая)</strong>. Данный параметр предназначен для перенаправления всех папок пользователей, расположенных в указанном в объекте групповой политики подразделения в единое общедоступное расположение.</li><li><strong>Указать различные расположения для разных групп пользователей</strong>. Используя текущий параметр, вы можете определить папки общего сетевого ресурса для перенаправляемых папок, в зависимости от группы безопасности, в которую входят определенные пользователи.</li><li><strong>Не задана</strong>. Если выбрать этот параметр, то расположение папок пользовательского профиля не будет изменено. Этот параметр выбран по умолчанию.</li></ul><p>Так как в указанных выше условиях, для папок <strong>Музыка</strong> и <strong>Видео</strong> для всех пользователей, расположенных в подразделении <strong>Продажи</strong>, должно быть создано простое перенаправление папок, из раскрывающего списка <strong>Политика</strong> выберите опцию <strong>Перенаправлять папки всех пользователей в одно расположение (простая)</strong>. Перед определением корневого пути перенаправляемой папки, вам нужно указать тип расположения целевой папки. Доступны следующие варианты типа расположения:</p><ul><li><strong>Создать папку для каждого пользователя на корневом пути</strong>. Указав текущий тип расположения целевой папки, вы тем самым позволите для каждого пользователя создавать отдельную папку, расположенную внутри корневой папки. Создаваемая папка для пользователя будет отображаться как имя учетной записи пользователя;</li><li><strong>Перенаправлять в следующее расположение</strong>. Этот параметр позволяет создавать для каждого пользователя отдельную папку. Целесообразно использовать этот параметр в том случае, когда вам нужно, чтобы данные из пользовательских профилей сохранялись в одно расположение. Чтобы сымитировать расположение целевых папок, подобных предыдущему типу расположения целевой папки, вы можете указать переменную %username%;</li><li><strong>Перенаправлять в расположение, определяемое локальным профилем</strong>. Указав этот тип расположения, папки не будут перенаправляться в общедоступное сетевое расположение.</li></ul><p>Выберите параметр <strong>Создать папку для каждого пользователя на корневом пути</strong> и в соответствующем текстовом поле укажите путь к общедоступной папки. Например, в моем случае, папки <strong>Музыка</strong> пользовательских профилей будет перенаправляться в общую папку <strong>\\Server04\Music</strong>, как показано на следующей иллюстрации:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-03.jpg" alt="*" width="404" height="465"/></p><p><strong>Рис. 2. Вкладка Конечная папка диалогового окна перенаправления папок</strong></p><li>Наряду с параметрами конечной папки, вам также предоставляется возможность задать дополнительные параметры для перенаправленных папок. Здесь вы можете выбрать следующие дополнительные параметры:</li><ul><li><strong>Предоставить права монопольного доступа к %ИмяПапки%</strong>. Если вы установите флажок напротив этого параметра, то доступ к данной перенаправленной папке будет предоставлен только для пользовательской учетной записи, а также для системной учетной записи. Никакие другие, даже административные учетные записи не смогут получить доступ к текущей папке;</li><li><strong>Перенести содержимое %ИмяПапки% в новое расположение</strong>. Активировав этот параметр, содержимое пользовательской папки будет перемещено в новое расположение. Если же флажок будет снят, то все данные будут копироваться;</li><li><strong>Применить политику перенаправления также к операционным системам Windows 2000, Windows 2000 Server, Windows XP и <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx" target="_blank" title="Посетите техцентр Windows Server 2003">Windows Server 2003</a></strong>. Установив этот флажок, вы сможете перенаправлять папки пользовательских профилей для пользователей, чьи операционные системы ниже <a href="http://technet.microsoft.com/ru-ru/windows/aa904820.aspx" target="_blank" title="Узнайте больше о Windows Vista">Windows Vista</a>, только для пяти указанных ранее папок. Как видно на следующей иллюстрации, при перенаправлении папки Музыка, вам не предоставляется такая возможность;</li><li><strong>Параметры удаления политики</strong>. Выбранное в этой группе действие определяет поведение перенаправленной папки после удаления объекта групповой политики, содержащего текущие параметры. Так как по умолчанию выбран параметр <strong>После удаления политики оставить папку в новом расположении</strong>, в случае удаления объекта GPO, папка пользовательского профиля не будет обратно скопирована локально и останется на общедоступном сетевом ресурсе. В противном случае, все содержимое текущей папки будет обратно скопировано на пользовательский компьютер.</li></ul><p>Так как все установленные по умолчанию дополнительные параметры настроены оптимальным образом, нет смысла в изменении данных параметров. По нажатию на кнопку <strong>ОК</strong> будет отображено предупреждающее сообщение, свидетельствующее о том, что настройки перенаправленной папки не будут распространяться на операционную систему Windows XP и более старые версии операционной системы. Так как эта информация не является для вас новой и вам это уже известно, нажмите на кнопку <strong>Да</strong>. Для сохранения настроек перенаправленной папки нажмите на кнопку <strong>ОК</strong>. Повторите аналогичные действия для <strong>Видео</strong>. Стоит обратить внимание на то, что на выделенном сервере заранее должна быть создана общедоступная папка для перенаправленных папок. Иллюстрация вкладки <strong>Параметры</strong> изображена ниже:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-04.jpg" alt="*" width="404" height="465"/></p><p><strong>Рис. 3. Вкладка Параметры диалогового окна перенаправления папок</strong></p><li>На этом шаге нужно настроить перенаправление папки <strong>Документы</strong> для пользователей, которые входят в группу безопасности <strong>Продажи</strong>. Выполняемая на этом шаге задача, прежде всего, отличается от предыдущей тем, что здесь вам нужно выбрать параметр политики <strong>Указать различные расположения для разных групп пользователей</strong>. При использовании этой политики вам нужно будет указать группу безопасности Active Directory, членами которой являются пользователи, папки профилей которых, согласно данной политике, должны перенаправляться. Нажмите на кнопку <strong>Добавить</strong>, расположенную в группе <strong>Членство в группе безопасности</strong>.</li><p>В отобразившемся диалоговом окне <strong>Выбор группы и расположения</strong> вам нужно указать группу безопасности, а также параметры расположения целевой папки, о которых было рассказано на шаге 3. Для выбора группы безопасности нажмите на кнопку <strong>Обзор</strong>, расположенную возле текстового поля <strong>Членство в группе безопасности</strong>. Затем выберите параметр <strong>Создать папку для каждого пользователя на корневом пути</strong> из раскрывающегося списка расположения целевой папки. Стоит обратить внимание на то, что в отличие от простого перенаправления папок, в данном раскрывающемся списке есть еще четвертый параметр - <strong>Перенаправить на домашнюю папку пользователя</strong>. Данный параметр переместит расположение выбранной вами папки в локальный пользовательский профиль. Укажите корневой путь, а после чего нажмите на кнопку <strong>ОК</strong>. Диалоговое окно <strong>Выбор группы и расположения</strong> изображено ниже:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-05.jpg" alt="*" width="324" height="430"/></p><p><strong>Рис. 4. Диалоговое окно Выбор группы и расположения</strong></p><p>При необходимости, вы можете добавить несколько настроек, согласно которым будет перенаправляться выбранная вами папка. После того как вы добавите все требуемые группы безопасности и укажите для них настройки расположения целевых папок, не стоит изменять дополнительные параметры, а просто сохраните свойства создаваемой перенаправляемой папки. Вкладка <strong>Конечная папка</strong> диалогового окна свойств перенаправляемой папки изображена на следующей иллюстрации:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-06.jpg" alt="*" width="404" height="465"/></p><p><strong>Рис. 5. Вкладка Конечная папка диалогового окна расположения для разных групп пользователей</strong></p><li>Осталось только связать созданный нами объект групповой политики с подразделением <strong>Продажи</strong>. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики со своим подразделением. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Проверим, удалось ли перенаправить три папки для пользователя, который входит в группу безопасности <strong>Продажи</strong> и чья учетная запись расположена в подразделении <strong>Продажи</strong>. Выполним вход в систему при помощи учетной записи такого пользователя, а затем сохраним в папки <strong>Документ</strong>, <strong>Музыка</strong> и <strong>Видео</strong> по одному файлу. Повторно выполните вход в систему, а затем откройте диалоговое окно свойств библиотеки <strong>Музыка</strong> или <strong>Видео</strong>. Как видно на следующей иллюстрации, около перенаправленной папки отображается индикатор синхронизации, указывающий на состояние данных внутри перенаправленной папки. Диалоговое окно свойств библиотеки <strong>Видео</strong> изображено ниже:</p><p><img src="http://www.oszone.net/figs/u/72715/111020060903/fldr-redir-07.JPG" alt="*" width="453" height="513"/></p><p><strong>Рис. 6. Диалоговое окно свойств библиотеки с перенаправленной папкой</strong></p><h2>Заключение</h2><br><p>Из этой статьи вы узнали об очередном компоненте групповой политики - перенаправлении папок. Данная возможность позволяет вам сэкономить место на локальном диске пользователя при использовании локальных пользовательских профилей, а также существенно сократить трафик при загрузке перемещаемого профиля. Был рассмотрен пример перенаправления нескольких папок, используя простое перенаправление, а также перенаправление, основанное на группах безопасности.</p> http://www.microsoft.com/rus/business/smb/blog/125/ Microsoft for Business <p>Во многих компаниях, для большинства пользователей основным (а иногда и единственным) продуктом, который использует большая часть сотрудников, является тестовый редактор Microsoft Word, входящий как ключевой компонент программного продукта Microsoft Office. В принципе, изначально после установки данный продукт настроен оптимальным образом, и большинство людей использует его, не внося какие-либо изменений в настройки. Если посмотреть на этот программный продукт глубже и хотя бы открыть диалоговое окно <strong>Параметры Word</strong>, то можно увидеть, что Microsoft Word включает в себя около двухсот различных настроек, позволяющих подогнать данный продукт непосредственно под свои потребности.</p><p>Если перед вами стоит задача, связанная с настройкой некоторых параметров данного продукта для нескольких компьютеров, входящих в домашнее окружение или в рабочую группу, думаю, вас не сильно затруднит, перебрать все настройки и вручную изменить тот или иной параметр. Но если вам нужно поменять определенные настройки для десятка или сотни пользователей, расположенных в нескольких подразделениях на разных этажах, то такое занятие займет у вас продолжительное время, грубо говоря, потраченное зря.</p><p>Как многие из вас знают, для централизованного распространения общесистемных настроек и настроек некоторых программных продуктов, целесообразно использовать функционал групповой политики. В этой статье речь пойдет в распространении настроек Microsoft Word 2010 средствами групповой политики, на компьютеры с операционной системой Windows 7, входящие в домен Active Directory, работающим в режиме домена <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx" target="_blank" title="Узнайте больше о Windows Server на странице продукта">Windows Server 2008 R2</a> в фиктивной компании Biopharmaceutic.</p><h2>Где можно найти административные шаблоны для Microsoft Word?</h2><br><p>Скорее всего, на начальном этапе централизованного развертывания настроек для такого продукта как Microsoft Word этот вопрос у вас возникнет в первую очередь. Разумеется, такого административного шаблона вы не найдете ни в оснастке <strong>Редактор локальной групповой политики</strong> на клиентском компьютере, так и в оснастке <strong>Редактор управления групповыми политиками</strong>, вызываемой из оснастки <strong>Управление групповой политики</strong> на контроллере домена. Так как такие административные шаблоны изначально не предоставляются при установке программного продукта Microsoft Office, такой шаблон следует или написать собственноручно, что у вас может занять довольно продолжительное время, или же такой набор шаблонов попробовать откуда-то загрузить, а затем импортировать в свою инфраструктуру.</p><p>Естественно, второй вариант является более приоритетным, так как, импортировав существующий административный шаблон, вы избавите себя от написания тысячи строк и этим сэкономите массу своего времени. Естественно, Microsoft предоставляет вам такую возможность. Для того чтобы загрузить набор административных шаблонов продуктов Microsoft Office, вам нужно перейти по <a href="http://www.microsoft.com/download/en/details.aspx?id=18968">следующей ссылке</a> и загрузить набор административных шаблонов в зависимости от разрядности установленного в вашей среде продукта Microsoft Office.</p><p>После того как файл с административными шаблонами будет загружен, перед импортом необходимого шаблона, вам нужно будет его распаковать. Для этого локализуйте загруженный файл и запустите его. В отобразившемся окне <strong>The Microsoft <a href="http://technet.microsoft.com/ru-ru/office/ee263913.aspx" target="_blank" title="Узнайте больше об Office 2010">Office 2010</a> Administrative Templates</strong> примите условия лицензионного соглашения и нажмите на кнопку <strong>Continue</strong>. В отобразившемся диалоговом окне <strong>Обзор папок</strong> выберите папку, в которую должны быть изначально скопированы ADMX и ADML-файлы. Буквально за несколько секунд файлы будут скопированы в указанную вами папку:</p><p><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-02.png" alt="*" width="480" height="164"/></p><p><strong>Рис. 1. Процесс сохранения файлов административных шаблонов на компьютер</strong></p><br/><p>На следующем этапе нужно будет скопировать файлы административных шаблонов в определенную папку, чтобы при открытии оснастки <strong>Редактор управления групповыми политиками</strong> вы могли сразу найти требуемые административные шаблоны. Если вы будете управлять настройками Microsoft Word средствами групповой политики на компьютере, входящем в рабочую группу, вам нужно будет скопировать ADMX-файл, не зависящий от языка и файл языковых ресурсов ADML в папку <strong>%SystemRoot%\PolicyDefinitions</strong>.</p><p>Если же вы будете настраивать Microsoft Word на компьютерах, которые входят в домен Active Directory, вам сначала понадобится создать центральное хранилище, другими словами, отдельную папку, размещенную в <strong>%SYSVOL%</strong>, которая будет содержать все требуемые файлы ADMX и ADML. Процедура создания центрального хранилища была подробно описана в одной из моих предыдущих <a href="http://wp.me/p15W58-BP">статей</a> по работе с групповыми политиками. В следующем примере будут рассматриваться развертывание настроек Microsoft Word для компьютеров, которые входят в домен.</p><p>Для того чтобы в оснастке редактора управления групповыми политиками не появилось сразу множество ненужных административных шаблонов, я рекомендую на этом этапе скопировать в центральное хранилище только файл <strong>word14.admx</strong> и <strong>word14.adml</strong> из той папки языковых ресурсов, язык которой совпадает с языками установленного продукта Microsoft Office на клиентских компьютерах. После того как вы выполните все указанные ранее действия, можете переходить непосредственно к процессу развертывания настроек MS Word средствами групповой политики.</p><h2>Развертывание настроек Microsoft Word на клиентские компьютеры</h2><br><p>После того как вы выполните все предварительные требования, можно приступить к самому процессу развертывания настроек средствами групповой политики. Изложенный ниже материал предусматривает, что на компьютерах, для которых будет распространяться указанный в статье объект групповой политики, установлены операционная система <a href="http://technet.microsoft.com/ru-ru/windows/dd361745.aspx" target="_blank" title="Узнайте больше о Windows 7">Windows 7</a> и Microsoft Office 2010. В следующем примере будут рассматриваться изменения восьми настроек программы, расположенных в категориях <strong>Правописание</strong>, <strong>Сохранение</strong>, <strong>Лента</strong> и <strong>Дополнительно</strong>. Итак, чтобы внести изменения в настройки, присутствующие в указанных выше категориях, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>. В отобразившейся оснастке, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена. После этого перейдите к узлу <strong>Объекты групповой политики</strong> и в выбранном узле создайте объект групповой политики, например, <strong>Настройка Microsoft Word 2010</strong>. Выберите созданный объект GPO, нажмите на нем правой кнопкой мыши и из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> выберите команду <strong>Изменить</strong>, предназначенную для открытия оснастки <strong>Редактор управления групповыми политиками</strong>;</li><li>В отобразившейся оснастке <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация пользователя\Политики\Административные шаблоны</strong>. Обратите внимание на то, что помимо стандартных дочерних узлов, в дереве оснастки вы можете обнаружить узел <strong>Microsoft Word 2010</strong> с восемью дочерними узлами и множеством параметров политики. На следующей иллюстрации изображена оснастка <strong>Редактор управления групповой политикой</strong> с развернутым узлом <strong>Microsoft Word 2010</strong>:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-03.png" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-03_mini_oszone.png" alt="*" width="480" height="342"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Узел Microsoft Word 2010 редактора управления групповыми политиками</strong></p></li><li>В новом меню Microsoft Word 2010 появилось новое меню Backstage, где вы можете просматривать последние открытые документы. По умолчанию там отображается 25 последних открытых документов Microsoft Word. При помощи параметров групповой политики вы можете изменить значение, указанное по умолчанию. Для этого перейдите в узел <strong>Дополнительно</strong> и выберите параметр политики <strong>Число документов в списке последних документов</strong>. В отобразившемся диалоговом окне установите переключатель на опции включить и в соответствующем поле укажите то число документов, которое, как вы считаете, будет оптимальным для ваших пользователей. Например, как видно ниже, я указал максимальное количество 30 документов:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-04.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-04_mini_oszone.jpg" alt="*" width="480" height="438"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Параметры политики Число документов в списке последних документов</strong></p></li><li>Следующая настройка, которая будет изменена, это параметр, указывающий на автоматическую проверку правописания. Полагаю, что каждый человек, который хотя бы один раз работал в любой версии Microsoft Office, мог заметить, что при вводе неправильных слов, они будут подчеркнуты волнистой красной или зелёной линией. Эти подчеркивания обозначают, что в программе работает автоматическая проверка орфографии и грамматики, во время которой текстовый редактор сравнивает введенные вами слова со словами из основного словаря. Чтобы пользователи случайно не отключили эту возможность и не показали своим коллегам свою истинную грамотность, нужно запретить пользователям снимать этот флажок. В настройках программы Microsoft Word данная настройка расположена в группе <strong>Правописание</strong> диалогового окна <strong>Параметры Word</strong>. Для этого в узле <strong>Microsoft Word 2010</strong> редактора управления групповыми политиками разверните узел <strong>Параметры Word</strong> и выберите узел <strong>Правописание</strong>. Откройте диалоговое окно свойств <strong>Автоматически проверять грамматику</strong>, установите переключатель на опции <strong>Включить</strong>. Помимо этого, для включения автоматической проверки грамматических ошибок установите соответствующий флажок и выберите из раскрывающегося списка цвет, используемый для пометки грамматических ошибок. По умолчанию такой цвет красный. Настроенный параметр политики изображен на следующей иллюстрации:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-05.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-05_mini_oszone.jpg" alt="*" width="480" height="438"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Параметры политики Автоматически проверять грамматику</strong></p></li><li>Если могут быть грамматические ошибки, то не стоит исключать тот вариант, что пользователи могут допускать еще и орфографические ошибки. Поэтому будет неплохо, если помимо предыдущего параметра политики, вы также настроите параметр политики, выполняющий действия, аналогичные действиям флажка <strong>Также проверять орфографию</strong> из диалогового окна параметров программы. Для этого находясь в узле <strong>Правописание</strong> откройте диалоговое окно параметров политики <strong>Также проверять орфографию</strong>. В отобразившемся диалоговом окне установите переключатель на опцию <strong>Включить</strong>;</li><li>Нередко можно встретить ситуации, когда при вводе текста пользователи забывают, что у них включена клавиша Caps Lock и они случайно не глядя на экран несколько минут вводят текст, а затем поднимают голову и с криками нервно начинают стирать целые абзацы и вводить весь текст заново. Этого можно избежать, если установить соответствующий флажок в диалоговом окне параметров автозамены. Для того чтобы централизовано указать такую настройку всем вашим пользователям, перейдите в узел <strong>Автозамена</strong> и откройте окно параметров политики <strong>Устранять последствия случайного нажатия cAPS LOCK</strong>. В отобразившемся диалоговом окне, как видно на следующей иллюстрации, установите переключатель на опцию <strong>Включить</strong>:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-06.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-06_mini_oszone.jpg" alt="*" width="480" height="438"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Параметры политики Устранять последствия случайного нажатия cAPS LOCK</strong></p></li><li>Функционал Microsoft Word также поддерживает отличную функцию автоматического форматирования введенного текста. Например, вы можете установить параметр, позволяющий автоматически заменять дроби вида 1/2 на соответствующие знаки. Для этого в узле <strong>Автоформат при вводе/Заменять при вводе</strong> откройте свойства параметра <strong>Дроби (1/2) соответствующими знаками</strong> и установите переключатель на опцию <strong>Включить</strong>. Как видно ниже, при помощи графического интерфейса, вы можете указать тот же параметр на вкладке <strong>Автоформат</strong> диалогового окна <strong>Автозамена</strong> параметров правописания Microsoft Word:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-07.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-07_mini_oszone.JPG" alt="*" width="480" height="304"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Параметры автоформата</strong></p></li><li>Возникали ли хоть когда-то у ваших пользователей такие ситуации, когда после того как они набрали огромную часть своего документа у них закрывался с ошибкой текстовый редактор или якобы случайно перезагружался компьютер, или же в здании вообще выключали свет? Наверняка, такие ситуации случались. Для того чтобы у пользователей максимально часто сохранялись их документы, вы можете настроить параметры автоматического сохранения. Для этого перейдите в узел <strong>Сохранить</strong> и откройте диалоговое окно свойств параметра <strong>Автосохранение</strong>. В отобразившемся диалоговом окне установите переключатель на опцию <strong>Включить</strong>, а затем, используя соответствующий контрол установите необходимое время в минутах, например на 3 минуты. Теперь ваши пользователи смогут меньше волноваться о потере своих данных:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-08.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-08_mini_oszone.jpg" alt="*" width="480" height="438"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Параметры политики Автосохранение</strong></p></li><li>Помимо пользователей, которые лишь вводят текст, у вас также могут быть сотрудники, которые периодически пишут разнообразные макросы, а как многие из вас знают, для написания макросов в ленте Microsoft Office 2010 существует скрытая по умолчанию вкладка <strong>Разработчик</strong>. Опытные пользователи, которым действительно нужна такая вкладка, включают ее автоматически. Думаю, таким пользователям было бы значительно удобнее, если бы эта вкладка у них отображалась автоматически. Для этого в узле <strong>Настройка ленты</strong> редактора управления групповой политики выберите параметр <strong>Показывать вкладку Разработчик на ленте</strong>. В диалоговом окне свойств текущего параметра установите переключатель на опции <strong>Включить</strong>;</li><li>Последний параметр, о котором будет идти речь в этой статье, предназначен для определения единиц измерения, используемой для горизонтальной линейки, а также разметки в диалоговых окнах программы по умолчанию. Как в графическом интерфейсе программы, так и средствами групповой политики вы можете указать такие единицы измерения, как <strong>Дюймы</strong>, <strong>Сантиметры</strong>, <strong>Миллиметры</strong>, <strong>Пункты</strong> или <strong>Пики</strong>. Чтобы указать единицы измерения средствами групповой политики, например, сантиметры, в узле <strong>Дополнительно</strong> откройте диалоговое окно свойств параметра политики <strong>Единицы измерения</strong>. В появившемся диалоговом окне установите флажок на опции <strong>Включить</strong> и из раскрывающегося списка выберите требуемую единицу измерения, например, как показано ниже:<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-09.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-09_mini_oszone.JPG" alt="*" width="480" height="442"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Параметры политики Единицы измерения</strong></p></li><li>Конечно, указанные выше восемь параметров Microsoft Word это лишь небольшая часть среди того количества параметров, которые вы можете настраивать для оптимальной работы с данной программой ваших сотрудников. После того как все настройки, указанные вами будут внесены, следует привязать созданный вами объект GPO к подразделению, содержащему учетные записи ваших пользователей. В данном примере, таким подразделением выступает подразделение <strong>Пользователи</strong>, которое является родительским подразделением в иерархии подразделений с пользовательскими учетными записями. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>. Разверните контейнер <strong>Пользователи</strong> и выберите связанный объект групповой политики. Перейдите на вкладку <strong>Таблица</strong> и так как в текущем объекте групповой политики настраивались только те параметры, которые расположены в узле <strong>Конфигурация пользователя</strong>, из раскрывающегося списка <strong>Состояние GPO</strong> выберите команду <strong>Параметры конфигурации компьютера отключены</strong>. В диалоговом окне с предупреждением нажмите на кнопку <strong>ОК</strong>.<br/><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-10.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-10_mini_oszone.JPG" alt="*" width="480" height="335"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Отключение параметров конфигурации компьютера для связанного объекта групповой политики</strong></p></li></ol><p>Пришло время проверить, применились ли указанные ранее параметры Microsoft Word к программному обеспечению ваших пользователей. Выполните вход под пользовательской учетной записью на компьютер с установленным программным продуктом Microsoft Office 2010. Откройте Microsoft Word, где вы сразу на ленте заметите, что появилась вкладка <strong>Разработчик</strong>, параметр которой настраивался на шаге 9 ранее. Теперь перейдем к диалоговому окну параметров Word. Как видно на следующей иллюстрации, в группе <strong>Дополнительно</strong> на опции <strong>Число документов в списке последних файлов</strong> указано значение 30, а в качестве единицы измерения указаны сантиметры. То есть сразу можно сказать, что, по меньшей мере, три параметра из восьми были успешно применены. Если хотите проверить, были ли применены настройки для оставшихся пяти параметров, перейдите в соответствующие группы диалогового окна параметров программы и перепроверьте самостоятельно.</p><p><a href="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-11.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111017062859/MSWordGPO-11_mini_oszone.JPG" alt="*" width="480" height="342"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Диалоговое окно параметров Microsoft Word</strong></p><br/><h2>Заключение</h2><br><p>Из этой статьи вы узнали о том, каким образом можно централизовано настраивать текстовый редактор Microsoft Word, который входит в комплект программного продукта Microsoft Office 2010. Был подробно описан процесс создания объекта групповой политики и приведены примеры настройки восьми параметров, расположенных в графическом интерфейсе настройки Microsoft Word в разных группах диалогового окна <strong>Параметры Word</strong>.</p><p>Естественно, функционал групповой политики позволяет вам настраивать значительно меньше параметров программы, нежели средствами графического интерфейса. Поэтому, если у вас не получится найти тот или иной параметр в загруженном административном шаблоне, вам нужно будет или модифицировать существующий шаблон, или воспользоваться элементом предпочтения реестра, расположенном в узле <strong>Конфигурация компьютера\Настройка\Конфигурация Windows\Реестр</strong>.</p> http://www.microsoft.com/rus/business/smb/blog/124/ Microsoft for Business <h2>Введение</h2><br><p>Как часто вам приходится создавать назначенные задания для своих пользователей? Такими задачами могут выступать рутинные операции по обслуживанию, которые пользователи самостоятельно не будут выполнять, а вам придется тратить большую часть своего времени, чтобы выполнять одинаковые задания на пользовательских компьютерах. Например, в некоторых ситуациях вам нужно будет создавать событийно-управляемые задания, которые запускаются при регистрации компонентом Windows определенных событий в заданном журнале событий или централизовано после загрузки системы следует открыть какое-то приложение для целого подразделения. В принципе, назначенные задания на локальных или удаленных компьютерах можно настроить практически для всего, что только можно запускать непосредственно из командной строки, например, различные сценарии, программное обеспечение, документы, ярлыки и многое другое, причем, при создании задания вы можете указать любые доступные аргументы.</p><p>Задача не сложная, так как вы можете создавать настраиваемые задания для пользовательских компьютеров при помощи оснастки <strong>Планировщик заданий</strong> не отходя от своего компьютера, так как можно подключаться к другим компьютерам непосредственно из оснастки планировщика или выполнять аналогичные действия средствами командной строки. Но разве не было бы удобнее полностью автоматизировать данный процесс и создавать назначенное задание только один раз, чтобы такое задание распространялось именно для тех пользователей или на те компьютеры, для которых должны быть созданы новые задания?</p><p>Разумеется, для централизованного развертывания каких-либо настроек лучше всего воспользоваться функционалом групповой политики. До выхода операционной системы <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx" target="_blank" title="Узнайте больше о Windows Server на странице продукта">Windows Server 2008</a> у вас была возможность создавать псевдо-назначенные задания при помощи сценариев автозагрузки, но используя данный метод, нужно было писать сложные сценарии, тщательно тестируемые и, соответственно, в которых легко можно было допустить какую-либо ошибку и на ее локализацию могло уйти дополнительное время. Теперь, после выпуска операционной системы Windows <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx" target="_blank" title="Узнайте больше о Windows Server на странице продукта">Server 2008</a> и с появлением функционала предпочтений групповой политики, централизовано настраивать назначенные задание стало существенно проще благодаря такому элементу предпочтения групповой политики, как <strong>Назначенные задания</strong>. Этот элемент предпочтений позволяет создавать задания как для компьютеров, работающих под операционной системой <a href="http://technet.microsoft.com/ru-ru/windows/aa904820.aspx" target="_blank" title="Узнайте больше о Windows Vista">Windows Vista</a> и более поздних версий, так и для компьютеров под операционной системой <a href="http://technet.microsoft.com/ru-ru/windows/bb264763.aspx" target="_blank" title="Посетите техцентр Windows XP">Windows XP</a>, что дает возможность гибкого управления назначенными заданиями. За это расширение клиентской стороны отвечает библиотека gpprefcl.dll, а также с ним связан идентификатор GUID {AADCED64-746C-4633-A97C-D61349046527}, расположенный на контроллере домена. В этой статье вы узнаете о том, как можно централизовано создать назначенные задания, используя функционал групповой политики.</p><h2>Узел предпочтений групповой политики Назначенные задания</h2><br><p>Как я уже обращал внимание, данное расширение клиентской стороны предназначено для развертывания назначенных заданий, а именно, вы можете создавать, изменять, удалять назначенные задания, выводить компьютер из спящего режима, а также выполнять много полезных действий по обслуживанию клиентских компьютеров. Как и в большинстве случаев, текущий элемент предпочтений групповой политики можно обнаружить как в узле конфигурации компьютера, так и конфигурации пользователя редактора управления групповыми политиками. При работе с расширением клиентской стороны групповой политики <strong>Назначенные задания</strong> нельзя не обратить внимание на такой момент, как наличие назначенных и очередных заданий. Основное отличие между ними в том, что у вас есть возможность создания, обновления, замены или удаления такого задания, а при создании очередного задания, такая задача будет запускаться сразу после обновления групповой политики, а затем автоматически удаляться, причем, для очередных заданий нет возможности указания триггеров. Думаю, не стоит останавливаться на объяснении работы триггеров, а просто стоит обратить внимание на то, что триггерами называется набор условий, при выполнении которых запускается задание. Триггеры могут быть основаны на времени и запускать задание однократно в определенное время суток либо ежедневно, еженедельно или ежемесячно, или основаны на событиях, которые запускают задание при возникновении определенных системных событий.</p><p>В следующем примере будет рассмотрено создание трех назначенных заданий для операционной системы <a href="http://technet.microsoft.com/ru-ru/windows/dd361745.aspx" target="_blank" title="Узнайте больше о Windows 7">Windows 7</a>. Сначала будет создано событийно-управляемое задание, запускающее оснастку <strong>Локальные пользователи и группы</strong> при регистрации события с идентификатором 1531. Вторым будет создано задание, запускающее Microsoft Word через 30 секунд после входа пользователя в систему. И последним будет создано очередное задание, открывающее окно командной строки. Разумеется, для компьютеров, расположенных в производственной среде от таких заданий не будет никакого толку (отчасти, помимо второго создаваемого задания), но для ознакомительных целей управления назначенными заданиями средствами групповой политики, думаю, полезно будет попробовать воспользоваться такими сценариями.</p><p>Итак, для того чтобы создать указанные в предыдущем абзаце задания, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, узел с названием вашего домена, а затем выберите узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте новый объект групповой политики, например, <strong>Назначенные задания по обслуживанию отдела продаж</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Параметры панели управления</strong> и выберите узел <strong>Назначенные задания</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong>, а затем <strong>Назначенное задание (Windows <a href="http://technet.microsoft.com/ru-ru/windows/aa904820.aspx" target="_blank" title="Узнайте больше о Windows Vista">Vista</a> или более поздние версии)</strong>. Создание первого элемента предпочтения назначенного задание показано на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-02.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-02_mini_oszone.JPG" alt="*" width="480" height="343"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Процесс создания элемента предпочтения назначенного задания</strong></p><li>Появившееся диалоговое окно <strong>Новые свойства задачи (Windows Vista и последующие версии)</strong> может напомнить вам диалоговое окно <strong>Создание задачи</strong>, вызываемое при создании новой задачи из оснастки <strong>Планировщик заданий</strong>. Но в отличие от диалогового окна создания задачи планировщика, здесь вы можете обнаружить шесть вкладок (при помощи последней вкладки вы можете управлять общими параметрами элемента предпочтения, а также добавлять нацеленность на уровень элемента). Вкратце рассмотрим каждую из вкладок:</li><ul><li><strong>Общие</strong>. На этой вкладке вы можете указать такие общие настройки, как наименование задачи, ее описание, учетную запись пользователя, от имени которого выполняется создаваемая задача и прочее. Также здесь, в диалоговом окне свойств создаваемого назначенного задания можно выбрать действие, которое вам уже известно по большей части существующих элементов предпочтения, а именно действия <strong>Создать</strong>, <strong>Заменить</strong>, <strong>Обновить</strong>, а также <strong>Удалить</strong>, значения которых вам давно уже известны. В данном случае, так как будет создаваться новое назначенное задание, выберите команду <strong>Создать</strong> из соответствующего раскрывающегося списка. В текстовом поле <strong>Имя</strong> следует указать наименование создаваемого задания. В данном случае, именем задания выступит <strong>Действие, выполняемое при регистрации события 1531</strong>. В описании задания можно указать что-то вроде <strong>Запуск оснастки Локальные пользователи и группы при регистрации события 1531</strong>. Так как задаче следует запускаться от имени пользователя, выполнившего вход в систему, следует оставить значение по умолчанию, а именно <strong>%LogonDomain%\%LogonUser%</strong> - это учетная запись пользователя, который выполнил вход в домен. При необходимости, разумеется, вы можете изменить учетную запись. Если же вам необходимо, чтобы задание выполнялось от имени администратора, установите флажок на опции <strong>Выполнить с наивысшими правами</strong>. Также на этой вкладке из раскрывающегося списка <strong>Настроить для</strong> вы можете указать операционную систему, для которой должно выполняться текущее задание. Настроенные параметры текущей вкладки можно увидеть на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-03.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-03_mini_oszone.jpg" alt="*" width="480" height="360"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Вкладка Общие диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p><li><strong>Триггеры</strong>. На вкладке <strong>Триггеры</strong> вы можете указать требуемый триггер для создаваемого назначенного задания. Для создания нового триггера вам следует нажать на кнопку <strong>Создать</strong> и в отобразившемся диалоговом окне <strong>Создание триггера</strong> выбрать из раскрывающегося списка <strong>Начать задачу</strong> команду <strong>По событию</strong>. Для выбранного типа триггера у вас есть возможность настраивать фильтр по определенному идентификатору события или использовать фильтр событий. Если в области <strong>Параметры</strong> переключатель установлен на опцию <strong>Простое</strong>, то вам нужно будет указать журнал, источник и код события из соответствующих раскрывающихся списков и текстового поля. При выборе настраиваемых параметров, вам нужно будет нажать на кнопку <strong>Создать фильтр события</strong> и, в открывшемся одноименном диалоговом окне, настроить фильтр события для вашего создаваемого задания. В данном случае будут использоваться простые параметры с журналом <strong>Приложение</strong>, источником <strong>Microsoft-Windows-User Profile Service</strong> и кодом события <strong>1531</strong>. При необходимости, в дополнительных параметрах триггера вы можете отложить задание на несколько минут, повторять задание после первого запуска в указанном промежутке времени за определенный срок, а также остановить его через определенный промежуток времени. Укажите настройки, которые показаны на следующей иллюстрации и перейдите на следующую вкладку;</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-04.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-04_mini_oszone.jpg" alt="*" width="480" height="379"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Вкладка Триггеры диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p><li><strong>Действия</strong>. Вкладка <strong>Действия</strong> предназначена для определения действий, выполняемых при регистрации события, которое было указано на предыдущей вкладке. Здесь вы можете выполнить такие же действия, как если бы вы создавали назначенное задание непосредственно из оснастки <strong>Планировщик заданий</strong>, а именно, вы можете запускать программы или скрипты, отправлять электронную почту или выводить сообщения. Так как в данном случае следует при регистрации события 1531 запустить оснастку <strong>Локальные пользователи и группы</strong>, локализуйте размещение исполняемого файла данной оснастки в текстовом поле <strong>Программа или сценарий</strong>. При необходимости, вы можете добавить необходимые атрибуты или указать рабочую папку. Настроенную вкладку <strong>Действия</strong> вы можете увидеть ниже:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-05.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-05_mini_oszone.JPG" alt="*" width="480" height="358"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Вкладка Действия диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p><li><strong>Условия</strong>. Используя возможности этой вкладки, вам предоставляется возможность добавления дополнительных параметров, позволяющих задать время простоя до выполнения настоящего задания, запустить задание только в том случае, если компьютер подключен к электросети (параметр предназначен только в случае использования ноутбуков), пробуждать компьютер в том случае, если он находится в спящем режиме, а также параметра, при помощи которого задание будет выполнено лишь при условии, что компьютер будет подключен к конкретной сети. В данном случае, следует установить флажок только напротив параметра <strong>Запускать задачу только при питании от электросети</strong> и перейти к следующей вкладке. Внешний вид данной оснастки изображен ниже:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-06.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-06_mini_oszone.jpg" alt="*" width="480" height="360"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Вкладка Условия диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p><li><strong>Параметры</strong>. На вкладке <strong>Параметры</strong> вы можете указать оставшиеся параметры, позволяющие оптимальным образом использовать функционал создания назначенного задания. К таким задачам можно отнести запуск заданий при возникновении ситуации, когда у запланированного задания не было возможности выполниться (например, при отключении компьютера), перезапуска при возможном сбое с количеством попыток перезапуска, остановки задачи в случае подвисания, удаления текущего задания, а также обработки ситуации, когда задание уже выполняется, но согласно триггеру следует его выполнить повторно. В этой ситуации не стоит указывать какие-либо дополнительные параметры, а можно сразу перейти к вкладке с общими параметрами элемента предпочтения.</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-07.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-07_mini_oszone.jpg" alt="*" width="480" height="360"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Вкладка Параметры диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p></ul><li>Вкладка <strong>Общие параметры</strong> уже давно вам известна и поэтому не стоит в очередной раз напоминать ее назначение и основные параметры, которые доступны для изменения. Разве что, думаю, следует обратить внимание на то, что управляемые элементы, отображаемые на текущей вкладке, по умолчанию предназначены для диалогового окна фиксированной ширины и в данном элементе предпочтения вкладка <strong>Общие параметры</strong> выглядит немного коряво:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-08.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-08_mini_oszone.jpg" alt="*" width="480" height="360"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Вкладка Общие параметры диалогового окна свойств создаваемого элемента предпочтения назначенного задания</strong></p><p>Так как в предыдущих статьях по предпочтениям групповой политики вы уже ознакомились с большинством элементов нацеливания, в данном примере будет рассмотрен простейший элемент нацеливания, который может пригодиться лишь в том случае, если в вашей организации у пользователей установлены разные системные языки. В диалоговом окне редактора нацеливания выберите элемент язык, установите необходимый язык системы (например, <strong>Русский (Россия)</strong>), при необходимости установите флажок на нужном для вас параметре (в моем случае, это параметр <strong>Системный</strong>) и сохраните выполненные изменения, как показано ниже:</p><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-09.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-09_mini_oszone.jpg" alt="*" width="480" height="326"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Редактор нацеливания</strong></p><li>Теперь осталось создать еще два элемента предпочтения групповой политики. Для второго элемента предпочтения выберите действия <strong>Создать</strong>, в поле имя введите понятное вам имя, например, <strong>Запуск Microsoft Word</strong>, добавьте описание и, при необходимости, укажите учетную запись пользователя и операционную систему. На вкладке <strong>Триггеры</strong> из раскрывающегося списка <strong>Начать задачу</strong> выберите <strong>При входе в систему</strong> и установите временную задержку в 30 секунд. На вкладке <strong>Действия</strong> укажите приложение, которое должно запуститься и сохраните создаваемое задание. Здесь нужно быть особенно осторожным, так как у ваших пользователей могут быть установлены разные версии Microsoft Office, а в текстовом поле <strong>Программа или сценарий</strong> нужно указать точное расположение исполняемого фала. Например, в моем случае, следует указать <strong>%ProgramFiles%\Microsoft Office\Office14\WINWORD.EXE</strong>. Попробуйте настроить последнее, очередное задание, согласно условия, указанного в начале статьи. Обратите внимание на то, что при создании такого задания вы не можете указать какой-либо триггер:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-10.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-10_mini_oszone.JPG" alt="*" width="480" height="359"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Создание очередного задания</strong></p><p>Если возникнут проблемы при создании такого задание, сообщите о них в комментариях к этой статье.</p><li>После того как все задания будут созданы, окно редактора управления групповыми политиками должно выглядеть следующим образом:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-11.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-11_mini_oszone.jpg" alt="*" width="480" height="331"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Окно редактора управления групповыми политиками после создания всех элементов предпочтения групповой политики</strong></p><li>Теперь, после того как вами был создан последний элемент предпочтения групповой политики, нужно связать данный объект групповой политики с подразделением, для которого были созданы эти три назначенных задания. В данном случае, пусть это будет подразделение <strong>Продажи</strong>. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики со своим подразделением. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Самое время проверить, применился ли объект групповой политики к пользователям отдела <strong>Продажи</strong>. Выполните вход в систему под учетной записью пользователя из соответствующего подразделения и откройте оснастку <strong>Планировщик заданий</strong>. Как видно на следующей иллюстрации, в данной оснастке, в узле <strong>Библиотека планировщика заданий</strong> появились новые задания и, соответственно, в выполненных ранее действиях не было допущено ошибок:</p><p><a href="http://www.oszone.net/figs/u/72715/111004055648/gppref9-12.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/111004055648/gppref9-12_mini_oszone.JPG" alt="*" width="480" height="331"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 11. Новые назначенные задания на клиентском компьютере</strong></p><h2>Заключение</h2><br><p>Из этой статьи вы узнали об очередном элементе групповой политики, предназначенном для развертывания назначенных заданий, предназначенных для обслуживания клиентских компьютеров, элементе предпочтения <strong>Назначенные задания</strong>. Были рассмотрены примеры создания назначенных заданий средствами групповой политики, а именно, создание событийно-управляемого задания, создание задания, запускающего программу Microsoft Word через несколько секунд после выполнения входа пользователя в систему, а также очередного задания, запускающего командную строку. Помимо этого был рассмотрен очередной элемент нацеливания на уровень элемента, позволяющего применять элемент предпочтения к пользователям только в том случае, когда язык, указанный в элементе нацеливания, установлен на обрабатывающем компьютере.</p> http://www.microsoft.com/rus/business/smb/blog/123/ Microsoft for Business <p>В предыдущих статьях вы уже узнали о первоначальных настройках расширения CSE Установка программ, о публикации и назначении приложений при развертывании средствами групповой политики, а также об установочных файлах установщика Windows (*.MSI-файлов) и о *.ZAP-файлах - пакетах низкоуровневых приложений на основе инициативы нулевого администрирования. Помимо этого вкратце было рассказано о настройке установочного пакета MSI на примере такого программного продукта как Microsoft <a href="http://technet.microsoft.com/ru-ru/office/bb267346.aspx" target="_blank" title="Узнайте больше об Office 2007">Office 2007</a>. После того как все предварительные этапы будут завершены, придет время для создания развертывания приложения средствами групповой политики.</p><p>На этом этапе будет рассмотрен процесс создания объекта групповой политики, благодаря которому такой программный продукт как Microsoft Office 2007 будет развертываться на ваши клиентские компьютеры. Нужно помнить, что крайне желательно развертывать программное обеспечения средствами групповой политики в пределах одного географического расположения, так как в противном случае, развертывание приложений повлечет за собой интенсивный расход трафика.</p><p>Материал данной статьи предусматривает, что у вас уже создана точка распространения программного обеспечения (Software Distribution Point, SDP), о которой шла речь ранее, то есть, общая папка, из которой пользователи смогут устанавливать распространяемое программное обеспечение. В идеальном случае, такая папка будет расположена на вашем файловом сервере, для которой будут заданы такие разрешения как <strong>Чтение и выполнение</strong> только тем пользователям и компьютерам, для которых будут развертываться программные продукты. Помимо этого, в такой общей папке уже должен быть подготовлен инсталляционный пакет программного продукта Microsoft Office 2007, процесс подготовки которого рассматривался ранее. Следует обратить внимание на то, что Microsoft Office будет развертываться при помощи объекта групповой политики, созданном на контроллере домена под операционной системой <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx" target="_blank" title="Узнайте больше о Windows Server на странице продукта">Windows Server 2008 R2</a>. Также программный продукт будет установлен на клиентский компьютер, учетная запись которого является членом группы <strong>Компьютеры отдела продаж</strong>.</p><h2>Развертывание программного обеспечения</h2><br><p>Для развертывания такого программного продукта, как Microsoft Office 2007 на пользовательские компьютеры средствами групповой политики, установочный пакет следует назначать тем компьютерам, для которых его следует установить. Для того чтобы установить Microsoft Office 2007 средствами групповой политики, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>. В отобразившейся оснастке, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего перейдите к узлу <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект GPO <strong>Установка Microsoft Office</strong>. После этого в оснастке <strong>Управление групповой политикой</strong> выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и выберите команду <strong>Изменить</strong> из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> для открытия оснастки <strong>Редактор управления групповыми политиками</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация программ</strong>, перейдите к узлу <strong>Установка программ</strong>, нажмите на этом узле правой кнопкой мыши и из контекстного меню выберите команды <strong>Создать</strong> и <strong>Пакет</strong>, как показано на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-02.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-02_mini_oszone.JPG" alt="*" width="480" height="342"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание установочного пакета</strong></p><li>В отобразившемся диалоговом окне <strong>Открыть</strong> перейдите к подготовленной ранее точке распространения программного обеспечения и выберите файл установщика Windows, используя который будет установлено программное обеспечение. На этом этапе обратите внимание на два главных нюанса. Во-первых, для развертывания Microsoft Office 2007 вам нужно выбрать файл <strong>EnterpriseWW.msi</strong>, который расположен в папке <strong>Enterprise.WW</strong>. второй, более важный момент: при выборе папки вам нужно указывать не букву локального диска на своем контроллере домена (в том случае, если инсталляционный пакет расположен именно на контроллере домена), а сетевое размещение, так как это расположение публикуется для клиентских компьютеров;</li><li>Сразу после выбора *.msi-файла вам будет предложен способ развертывания программного обеспечения. В отобразившемся диалоговом окне <strong>Развертывание программ</strong> вы можете выбрать один из следующих методов: <strong>публичный</strong>, <strong>назначенный</strong> или <strong>особый</strong>. Так как программное обеспечение развертывается из узла <strong>Конфигурация компьютера</strong>, опубликовать программное обеспечение невозможно, и вы можете выбрать только один из последних двух методов. В случае с Microsoft Office 2007 достаточно выбрать метод <strong>назначенный</strong>, но чтобы рассмотреть все возможные опции при создании установочного пакета, выберите метод <strong>особый</strong>, как показано на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-03.jpg" alt="*" width="347" height="233"/></p><p><strong>Рис. 2. Выбор метода развертывания программного обеспечения</strong></p><li>В диалоговом окне свойств установочного пакета вы можете указать дополнительные параметры, используемые при установке программного обеспечения на шести следующих вкладках:</li><ul><li><strong>Общие</strong>. На текущей вкладке вы можете обнаружить общую информацию об устанавливаемом пакете. Здесь отображается номер версии программного продукта, его издатель, язык, а также платформа. Помимо этого, вы можете просмотреть и изменить некоторые параметры сведения о поддержке, а именно URL-адрес команды поддержки. Например, в данном случае укажите URL адрес своего отдела поддержки. В моем случае это будет адрес <a href="http://techsupport.biopharmaceutic.com/" target="_blank">http://techsupport.biopharmaceutic.com</a>, как показано на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-04.jpg" alt="*" width="404" height="466"/></p><p><strong>Рис. 3. Вкладка Общие диалогового окна свойств установочного пакета</strong></p><li><strong>Развертывание</strong>. Данная вкладка предназначена для управления дополнительными параметрами развертывания программного обеспечения. Здесь, в группе <strong>Тип развертывания</strong> вы можете предопределить вариант развертывания программного обеспечения. Доступны методы <strong>Публичный</strong> - публикация приложения, которая доступна только при создании устанавливаемого пакета из узла <strong>Конфигурация пользователя</strong>, а также <strong>Назначенный</strong> - назначение программного обеспечения для пользователей или компьютеров. Методы развертывания программного обеспечения средствами групповой политики рассматривались ранее.</li><p>Группа <strong>Параметры развертывания</strong> позволяет управлять поведением процесса установки программного обеспечения. Здесь вы можете выбрать следующие параметры:</p><ul><li><strong>Автоматически устанавливать приложения при обращении к файлу с соответствующим расширением</strong>. Данный параметр предназначен для определения начала процесса установки приложения пользователем при открытии файла с определенным расширением;</li><li><strong>Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления</strong>. Этот параметр предоставляет возможность удалять программное обеспечение при входе пользователя в систему или загрузке компьютера в том случае, когда область действия групповой политики больше не распространяется на текущего пользователя или компьютер. Самый простой пример - это перемещение пользователя из одного подразделения в другое, на которое уже не распространяется конкретный объект групповой политики;</li><li><strong>Не отображать этот пакет в окне мастера установки и удаления программ панели управления</strong>. Используя данный параметр, вы исключаете возможность удаления программного обеспечения привычным для пользователей способом - при помощи компонента <strong>Программы и компоненты</strong> (или <strong>Установка и удаления программ</strong> в операционных системах, предшествующих <a href="http://technet.microsoft.com/ru-ru/windows/aa904820.aspx" target="_blank" title="Узнайте больше о Windows Vista">Windows Vista</a>);</li><li><strong>Устанавливать это приложение при входе в систему</strong>. При помощи текущего параметра вы задаете принудительную установку программного обеспечения с настройками по умолчанию, не ожидая установку данного приложения самим пользователем.</li></ul><p>Стоит обратить внимание на то, что в случае развертывания программного обеспечения из узла <strong>Конфигурация компьютера</strong>, для выбора будет доступен только второй параметр развертывания, как можно заметить из следующей иллюстрации. При установке программного обеспечения из узла <strong>Конфигурация пользователя</strong>, выбрав тип развертывания <strong>Публичный</strong>, вы не сможете управлять последним параметром развертывания из данной группы, а при выборе типа развертывания <strong>Назначенный</strong>, вам нельзя будет изменять настройки первого параметра развертывания из этой группы.</p><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-05.jpg" alt="*" width="404" height="466"/></p><p><strong>Рис. 4. Вкладка Развертывание диалогового окна свойств установочного пакета</strong></p><p>Группа <strong>Пользовательский интерфейс при установке</strong> позволяет управлять отображением интерфейса при установке программного обеспечения. Если вы выберите простой интерфейс, то пользователю будут отображены только сообщения об ошибках и сообщение, свидетельствующее о завершении процесса программного обеспечения. При выборе полного пользовательского интерфейса, пользователю будут доступны все окна инсталляционного пакета.</p><p>При необходимости вы можете просмотреть дополнительные сведения, которые могут вам пригодиться при устранении ошибок во время установки. Для открытия дополнительных параметров, нажмите на кнопку <strong>Дополнительно</strong>. При помощи дополнительных параметров, отображаемых в диалоговом окне <strong>Дополнительные параметры развертывания</strong> вы можете настраивать следующие параметры:</p><ul><li><strong>Не использовать языковые установки при развертывании</strong>. В том случае, если язык программного обеспечения, которое должно устанавливаться при помощи групповой политики будет отличаться от языка операционной системы, вам нужно будет активировать текущую опцию;</li><li><strong>Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64</strong>. При включенном данном дополнительном параметре вы разрешите инсталляционному пакету назначать или опубликовывать 32-разрядное программное обеспечение в 64-разрядной операционной системе;</li><li><strong>Включать информацию об OLE классе и продукте</strong>. Позволяет развертывать сведения о компонентах Component Object Model (COM), которые развертываемое приложение может установить непосредственно из доменных служб Active Directory.</li></ul><p>В группе <strong>Дополнительные <a href="http://www.outsidethebox.ms/11749/" target="_blank" title="10 лучших бесплатных программ для быстрой диагностики Windows">диагностические</a> сведения</strong> вы можете пересмотреть такую информацию как код продукта GUID, счетчик развертывания программного обеспечения средствами групповой политики, а также сетевой путь к сценарию назначения приложения aas.</p><p>Диалоговое окно дополнительных параметров можно посмотреть на следующей иллюстрации:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-06.jpg" alt="*" width="396" height="394"/></p><p><strong>Рис. 5. Диалоговое окно дополнительных параметров развертывания</strong></p><li><strong>Обновления</strong>. Данная вкладка диалогового окна свойств инсталляционного пакета предназначена для определения программного обеспечения, которое будет обновляться при помощи текущего инсталляционного пакета. Думаю, не стоит на данный момент останавливаться на этом этапе. Процесс обновления программного обеспечения будет подробно рассмотрен в одной из следующих статей текущего цикла;</li><li><strong>Категории</strong>. Используя вкладку <strong>Категории</strong>, вы можете назначить инсталляционному пакету предустановленную ранее категорию, которую смогут увидеть пользователи при установки опубликованного программного обеспечения в диалоговом окне установки программного обеспечения. Для определения категорий, отметьте требуемую категорию в поле <strong>Доступные категории</strong> и нажмите на кнопку <strong>Выбрать</strong>. Выбранная вами категория должна переместиться к полю <strong>Выбранные категории</strong>, как показано на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-07.jpg" alt="*" width="404" height="466"/></p><p><strong>Рис. 6. Вкладка Категории диалогового окна свойств установочного пакета</strong></p><li><strong>Модификации</strong>. Во второй части текущего цикла говорилось о файлах трансформации (*.mst-файлах), содержащих сведения о компонентах, функциях, свойствах параметров и изменений, которые можно использовать для настройки устанавливаемого приложения. Именно при помощи текущей вкладки у вас есть возможность добавления таких файлов, которые будут применяться к инсталляционному пакету в порядке, указанном в поле <strong>Модификации</strong>. Например, если вам нужно установить программный продукт Microsoft Office на языке, отличном от английского, вам следует на этой вкладке развернуть файл трансформации ShellUI.MST, который находится в папке Office.ru-ru. Нажмите на кнопку <strong>Добавить</strong> и выберите текущий файл, как показано на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110929061623/gpsi3-08.jpg" alt="*" width="404" height="466"/></p><p><strong>Рис. 7. Вкладка Модификации диалогового окна свойств установочного пакета</strong></p><li><strong>Безопасность</strong>. На этой, последней, вкладке диалогового окна свойств инсталляционного пакета, вы можете указать дополнительные разрешения для групп безопасности, относящихся к текущему объекту групповой политики. Лучше всего, если вы не будете вносить существенных изменений на этой вкладке, достаточно руководствоваться тем, что у администраторов должен быть полный доступ к точке SDP, а пользователям, для которых программное обеспечение будет устанавливаться, нужны только права на чтение и выполнение.</li></ul><p>После того как вы внесете все изменения, нажмите на кнопку <strong>ОК</strong>.</p><li>Последнее что нужно сделать, это связать объект групповой политики с подразделением <strong>Компьютеры</strong>, а также в фильтре безопасности указать группу <strong>Компьютеры отдела продаж</strong>, для компьютеров которых должно развертываться данное программное обеспечение. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение <strong>Продажи</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>. Разверните контейнер <strong>Компьютеры</strong>, выберите связанный объект групповой политики, перейдите на вкладку <strong>Область</strong>, в группе <strong>Фильтры безопасности</strong> удалите группу <strong>Прошедшие проверку</strong> и добавьте к фильтру безопасности группу <strong>Компьютеры отдела продаж</strong>.</li></ol><p>Теперь следует проверить, установится ли Microsoft Office при помощи созданного объекта групповой политики. Войдите на компьютер, который является членом группы <strong>Компьютеры отдела продаж</strong> и перезагрузите компьютер. Так как программный продукт устанавливается в тихом режиме, пользователям не будет предоставлено ни одно окно, свидетельствующее об установке ПО. После установки, чтобы проверить, правильно ли она была завершена, проверьте параметры, которые были настроены при помощи средств, указанных в предыдущей статье данного цикла.</p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/122/ Microsoft for Business <p>Качественная визуализация большого объема информации - это почти всегда нетривиальная задача, т.к. отображение всех данных часто приводит к перегруженности диаграммы, ее запутанности и, в итоге, к неправильному восприятию и выводам. </p><p>Вот, например, данные по курсам валют за несколько месяцев:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart1.png" width="231" height="389"/></p><p>Строить график по всей таблице, как легко сообразить, не лучшая идея. Красивым решением в подобной ситуации может стать создание интерактивной диаграммы, которую пользователь может сам подстраивать под себя и ситуацию. А именно:</p><ul><li>двигаться по оси времени вперед-назад в будущее-прошлое</li><li>приближать-удалять отдельные области диаграммы для подробного изучения деталей графика</li><li>включать-выключать отображение отдельных валют на выбор</li></ul><p>Выглядеть это может примерно так:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart.gif" width="96%"/></p><p>Нравится? Тогда поехали...</p><h2>Шаг 1. Создаем дополнительную таблицу для диаграммы</h2><br><p>В большинстве случаев для реализации интерактивности диаграммы применяется простой, но мощный прием - диаграмма строится не по исходной, а по отдельной, специально созданной таблице с формулами, которая отображает только нужные данные. В нашем случае, в эту дополнительную таблицу будут переноситься исходные данные только по тем валютам, которые пользователь выбрал с помощью флажков:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart2.png" width="551" height="358"/></p><p>В Excel 2007/2010 к созданным диапазонам можно применить команду <strong>Форматировать как таблицу (</strong><strong>Format </strong><strong>as </strong><strong>Table)</strong> с вкладки <strong>Главная (</strong><strong>Home)</strong>:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart3.png" width="279" height="251"/></p><p>Это даст нам следующие преимущества:</p><ul><li>Любые формулы в таких таблицах автоматически транслируются на весь столбец - не надо тянуть их вручную до конца таблицы</li><li>При дописывании к таблице новых строк в будущем (новых дат и курсов) - размеры таблицы увеличиваются автоматически, включая корректировку диапазонов в диаграммах, ссылках на эту таблицу в других формулах и т.д.</li><li>Таблица быстро получает красивое форматирование (чересстрочную заливку и т.д.)</li><li>Каждая таблица получает собственное имя (в нашем случае - Таблица1 и Таблица2), которое можно затем использовать в формулах.</li></ul><p>Подробнее про преимущества использования подобных Таблиц можно почитать <a href="http://planetaexcel.ru/tip.php?aid=206" target="_blank">здесь</a>.</p><h2>Шаг 2. Добавляем флажки (checkboxes) для валют</h2><br><p>В Excel 2007/2010 для этого необходимо отобразить вкладку<strong> Разработчик (</strong><strong>Developer)</strong>, а в Excel 2003 и более старших версиях - панель инструментов <strong>Формы (</strong><strong>Forms)</strong>. Для этого:</p><ul><li>В Excel 2003: выберите в меню <strong>Вид - Панели инструментов - Формы (</strong><strong>View - </strong><strong>Toolbars - </strong><strong>Forms)</strong></li><li>В Excel 2007: нажать кнопку <strong>Офис - Параметры </strong><strong>Excel - Отобразить вкладку Разработчик на ленте (</strong><strong>Office </strong><strong>Button - </strong><strong>Excel </strong><strong>options - </strong><strong>Show </strong><strong>Developer </strong><strong>Tab </strong><strong>in </strong><strong>the </strong><strong>Ribbon)</strong></li><li>В Excel 2010: <strong>Файл - Параметры - Настройка ленты - включить флаг Разрабочик (</strong><strong>File - </strong><strong>Options - </strong><strong>Customize </strong><strong>Ribbon - </strong><strong>Developer)</strong></li></ul><p>На появившейся панели инструментов или вкладке <strong>Разработчик (</strong><strong>Developer)</strong> в раскрывающемся списке <strong>Вставить (</strong><strong>Insert) </strong>выбираем инструмент <strong>Флажок (</strong><strong>Checkbox) </strong>и рисуем два флажка-галочки для включения-выключения каждой из валют:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart4.png" width="362" height="241"/></p><p>Текст флажков можно поменять, щелкнув по ним правой кнопкой мыши и выбрав команду <strong>Изменить текст (</strong><strong>Edit </strong><strong>text)</strong>. </p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart5.png" width="457" height="121"/></p><p>Теперь привяжем наши флажки к любым ячейкам для определения того, включен флажок или нет (в нашем примере это две желтых ячейки в верхней части дополнительной таблицы). Для этого щелкните правой кнопкой мыши по очереди по каждому добавленному флажку и выберите команду <strong>Формат объекта (</strong><strong>Format </strong><strong>Control)</strong>, а затем в открывшемся окне задайте <strong>Связь с ячейкой (</strong><strong>Cell </strong><strong>link)</strong>.</p><p>Наша цель в том, чтобы каждый флажок был привязан к соответствующей желтой ячейке над столбцом с валютой. При включении флажка в связанную ячейку будет выводиться <strong>ИСТИНА (</strong><strong>TRUE)</strong>, при выключении - <strong>ЛОЖЬ (</strong><strong>FALSE)</strong>. Это позволит, в дальнейшем, проверять с помощью формул связанные ячейки и выводить в дополнительную таблицу либо значение курса из исходной таблицы для построения графика, либо <strong>#Н/Д (#</strong><strong>N/</strong><strong>A)</strong>, чтобы график не строился.</p><h2>Шаг 3. Транслируем данные в дополнительную таблицу</h2><br><p>Теперь заполним дополнительную таблицу формулой, которая будет транслировать исходные данные из основной таблицы, если соответствующий флажок валюты включен и связанная ячейка содержит слово ИСТИНА (TRUE):</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart6.png" width="96%"/></p><p>Заметьте, что при использовании команды <strong>Форматировать как таблицу (</strong><strong>Format </strong><strong>as </strong><strong>Table)</strong> на первом шаге, формула имеет использует имя таблицы и название колонки. В случае обычного диапазона, формула будет более привычного вида:</p><p>=ЕСЛИ(F$1;B4;#Н/Д)</p><p>Обратите внимание на частичное закрепление ссылки на желтую ячейку (F$1), т.к. она должна смещаться вправо, но не должна - вниз, при копировании формулы на весь диапазон. </p><p>Теперь при включении-выключении флажков наша дополнительная таблица заполняется либо данными из исходной таблицы, либо искусственно созданной ошибкой #Н/Д, которая не дает линии на графике.</p><h2>Шаг 4. Создаем полосы прокрутки для оси времени и масштабирования</h2><br><p>Теперь добавим на лист Excel полосы прокрутки, с помощью которых пользователь сможет легко сдвигать график по оси времени и менять масштаб его увеличения. </p><p><strong>Полосу прокрутки (</strong><strong>Scroll </strong><strong>bar)</strong> берем там же, где и флажки - на панели инструментов <strong>Формы (</strong><strong>Forms)</strong> или на вкладке <strong>Разработчик (</strong><strong>Developer)</strong>:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart7.png" width="399" height="255"/></p><p>Рисуем на листе в любом подходящем месте одну за другой две полосы - для сдвига по времени и масштаба:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart8.png" width="554" height="115"/></p><p>Каждую полосу прокрутки надо связать со своей ячейкой (синяя и зеленая ячейки на рисунке), куда будет выводиться числовое значение положения ползунка. Его мы потом будем использовать для определения масштаба и сдвига. Для этого щелкните правой кнопкой мыши по нарисованной полосе и выберите в контекстном меню команду <strong>Формат объекта (</strong><strong>Format </strong><strong>control)</strong>. В открывшемся окне можно задать связанную ячейку и минимум-максимум, в пределах которых будет гулять ползунок:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart9.png" width="96%"/></p><p>Таким образом, после выполнения всего вышеизложенного, у вас должно быть две полосы прокрутки, при перемещении ползунков по которым значения в связанных ячейках должны меняться в интервале от 1 до 307.</p><h2>Шаг 5. Создаем динамический именованный диапазон</h2><br><p>Чтобы отображать на графике данные только за определенный интервал времени, создадим именованный диапазон, который будет ссылаться только на нужные ячейки в дополнительной таблице. Этот диапазон будет характеризоваться двумя параметрами:</p><ul><li>Отступом от начала таблицы вниз на заданное количество строк, т.е. отступом по временной шкале прошлое-будущее (зеленая ячейка)</li><li>Количеством ячеек по высоте, т.е. масштабом (синяя ячейка)</li></ul><p>Этот именованный диапазон мы позже будем использовать как исходные данные для построения диаграммы.</p><p>Для создания такого диапазона будем использовать функцию <strong>СМЕЩ (</strong><strong>OFFSET)</strong> из категории <strong>Ссылки и массивы (</strong><strong>Lookup </strong><strong>and </strong><strong>Reference)</strong> - эта функция умеет создавать ссылку на диапазон заданного размера в заданном месте листа и имеет следующие аргументы:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart19.png" width="344" height="228"/></p><p>В качестве точки отсчета берется некая стартовая ячейка, затем задается смещение относительно нее на заданное количество строк вниз и столбцов вправо. Последние два аргумента этой функции - высота и ширина нужного нам диапазона. Так, например, если бы мы хотели иметь ссылку на диапазон данных с курсами за 5 дней, начиная с 4 января, то можно было бы использовать нашу функцию СМЕЩ со следующими аргументами:</p><p>=СМЕЩ(A3;4;1;5;2)</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart10.png" width="263" height="277"/></p><p>Хитрость в том, что константы в этой формуле можно заменить на ссылки на ячейки с переменным содержимым - в нашем случае, на синюю и зеленую ячейки. Сделать это можно, создав динамический именованный диапазон с функцией <strong>СМЕЩ (</strong><strong>OFFSET)</strong>. Для этого:</p><ul><li>В Excel 2007/2010 нажмите кнопку <strong>Диспетчер имен (</strong><strong>Name </strong><strong>Manager)</strong> на вкладке <strong>Формулы (Formulas)</strong></li><li>В Excel 2003 и старше - выберите в меню <strong>Вставка</strong><strong> - Имя</strong><strong> - Присвоить</strong><strong> (Insert - Name - Define)</strong></li></ul><p>Для создания нового именованного диапазона нужно нажать кнопку <strong>Создать (</strong><strong>Create) </strong>и ввести имя диапазона и ссылку на ячейки в открывшемся окне. </p><p>Сначала создадим два простых статических именованных диапазона с именами, например, <strong>Shift</strong> и Z<strong>oom</strong>, которые будут ссылаться на синюю и зеленую ячейки соответственно:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart11.png" width="254" height="206"/> <img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart12.png" width="254" height="206"/></p><p>Теперь чуть сложнее - создадим диапазон с именем <strong>Euros</strong>, который будет ссылаться с помощью функции <strong>СМЕЩ (</strong><strong>OFFSET) </strong>на данные по курсам евро за выбранный отрезок времени, используя только что созданные до этого диапазоны Shift и Zoom и ячейку E3 в качестве точки отсчета:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart13.png" width="338" height="203"/></p><p>Обратите внимание, что перед именем диапазона используется имя текущего листа - это сужает круг действия именованного диапазона, т.е. делает его доступным в пределах текущего листа, а не всей книги. Это необходимо нам для построения диаграммы в будущем. В новых версиях Excel для создания локального имени листа можно использовать выпадающий список <strong>Область</strong>.</p><p>Аналогичным образом создается именованный диапазон <strong>Dollars</strong> для данных по курсу доллара:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart14.png" width="338" height="203"/></p><p>И завершает картину диапазон <strong>Labels</strong>, указывающий на подписи к оси Х, т.е. даты для выбранного отрезка:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart15.png" width="338" height="203"/></p><p>Общая получившаяся картина должна быть примерно следующей:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart16.png" width="566" height="351"/></p><h2>Шаг 6. Строим диаграмму</h2><br><p>Выделим несколько строк в верхней части вспомогательной таблицы, например диапазон E3:G10 и построим по нему диаграмму типа <strong>График (</strong><strong>Line)</strong>. Для этого в Excel 2007/2010 нужно перейти на вкладку <strong>Вставка (</strong><strong>Insert)</strong> и в группе <strong>Диаграмма (</strong><strong>Chart) </strong>выбрать тип <strong>График (</strong><strong>Line)</strong>, а в более старших версиях выбрать в меню <strong>Вставка - Диаграмма (</strong><strong>Insert - </strong><strong>Chart)</strong>. Если выделить одну из линий на созданной диаграмме, то в строке формул будет видна функция <strong>РЯД (</strong><strong>SERIES)</strong>, обслуживающая выделенный ряд данных:</p><p><img src="http://www.planetaexcel.ru/images/tips_pics/interactive-chart18.png" width="558" height="291"/></p><p>Эта функция задает диапазоны данных и подписей для выделенного ряда диаграммы. Наша задача - подменить статические диапазоны в ее аргументах на динамические, созданные нами ранее. Это можно сделать прямо в строке формул, изменив</p><p>=РЯД(Лист1!$F$3;Лист1!<strong>$E$4:$E$10</strong>;Лист1!<strong>$F$4:$F$10</strong>;1)</p><p>на</p><p>=РЯД(Лист1!$F$3;Лист1!<strong>Labels</strong>;Лист1!<strong>Euros</strong>;1)</p><p>Выполнив эту процедуру последовательно для рядов данных доллара и евро, мы получим то, к чему стремились - диаграмма будет строиться по динамическим диапазонам Dollars и Euros, а подписи к оси Х будут браться из динамического же диапазона Labels. При изменении положения ползунков будут меняться диапазоны и, как следствие, диаграмма. При включении-выключении флажков - отображаться только те валюты, которые нам нужны. </p><p>Таким образом мы имеем полностью интерактивную диаграмму, где можем отобразить именно тот фрагмент данных, что нам нужен для анализа.</p> http://www.microsoft.com/rus/business/smb/blog/121/ Microsoft for Business <h2>Введение</h2><br><p>Наверняка, многие ваши пользователи любят наводить шум из-за быстродействия своего компьютера, рассказывая, что у них дома на ZverCD система значительно быстрее работает и все у них просто летает. Скорее всего, прирост в производительности на домашнем компьютере они замечают по той причине, что у них отключены какие-то определенные службы. Не будем заострять внимания на производительности и качестве той или иной сборки, а лишь рассмотрим метод управления службами на компьютерах ваших пользователей. Вы знаете, что управлять системными службами, которые устанавливаются с операционной системой по умолчанию можно непосредственно из узла <strong>Системные службы</strong>, расположенного в узле <strong>Параметры безопасности</strong> конфигурации компьютера редактора управления групповыми политиками. Там вы можете установить состояние любой службы, которая присутствует в списке. Но что же делать, если вам нужно указать время ожидания, если какая-то служба заблокирована или указать действия компьютера, выполняемое при сбое операционной системы? Для выполнения таких задач вы можете воспользоваться функционалом <strong>предпочтений групповой политики</strong>.</p><p>Как вы уже знаете, предпочтения групповой политики предоставляет довольно большой функционал, позволяющий оптимальным образом настроить рабочие места ваших пользователей. Из предыдущих семи статей, посвященных функционалу элементов предпочтений групповой политики, вы узнали о большинстве элементов предпочтения групповой политики, предназначенных для оптимизации конфигурации операционной системы Windows. В этой статье вы узнаете об элементе предпочтения групповой политики, который относится к параметрам панели управления, а именно об элементе предпочтения групповой политики <strong>Службы</strong>. За данное расширение CSE отвечает динамическая библиотека gpprefcl.dll, а также с ним связан идентификатор GUID {91FBB303-0CD5-4055-BF42-E512A681B325}, расположенный на контроллере домена. В отличие от большинства элементов предпочтений, вы можете воспользоваться этим расширением клиентской стороны только в узле <strong>Конфигурация компьютера</strong>.</p><h2>Узел предпочтений групповой политики Службы</h2><br><p>В отличие от элементов предпочтений, расположенных в узлах <strong>Конфигурация Windows</strong> конфигурации компьютера или пользователя, для некоторых элементов предпочтений групповой политики, которые можно найти в узлах параметров панели управления, нет привычного раскрывающегося списка <strong>Действие</strong>. Другими словами, некоторые элементы, такие как службы, параметры браузера <a href="http://msdn.microsoft.com/ru-ru/ie/default.aspx" target="_blank" title="Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера">Internet Explorer</a> или <a href="http://www.outsidethebox.ms/tag/explorer/" target="_blank" title="Проводник - это не просто файловый менеджер. Ускорьте свою работу в облочке Windows!">проводника</a> Windows невозможно заменить или удалить. Используя элемент предпочтения <strong>Службы</strong>, вы можете настраивать действия, учетные данные для регистрации службы, а также действия компьютера, выполняемые при сбое операционной системы для присутствующих на клиентских компьютерах системных служб.</p><p>В следующем примере будет рассмотрена настройка трех служб <strong>Планировщик заданий</strong>, <strong>Темы</strong> и <strong>Центр обновления Windows</strong> для всех клиентских компьютеров в организации, скорость процессора которых превышает 2ГГц. Чтобы выполнить поставленное задание, следуйте следующим инструкциям:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, узел с названием вашего домена, после чего перейдите к узлу <strong>Объекты групповой политики</strong>. В выбранном узле <strong>Объекты групповой политики</strong> создайте объект групповой политики <strong>Управление службами</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> выберите команду <strong>Изменить</strong>, предназначенную для открытия оснастки <strong>Редактор управления групповыми политиками</strong>;</li><li>Откроется оснастка <strong>Редактор управления групповыми политиками</strong>, где в дереве консоли разверните узел <strong>Конфигурация компьютера\Настройка\Параметры панели управления</strong> и выберите узел <strong>Службы</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>, а затем команду <strong>Служба</strong>. Процесс создания элемента предпочтения ярлыка видно на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/110920055923/gppref8-02.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-02_mini_oszone.JPG" alt="*" width="480" height="343"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание элемента предпочтений служб</strong></p><li>Как уже было указано выше, вкладка <strong>Общие</strong> диалогового окна <strong>Новые свойства службы</strong> существенно отличается от привычных для вас вкладок элементов предпочтений из узла <strong>Конфигурация Windows</strong>. Прежде всего, здесь нет раскрывающегося списка <strong>Действие</strong>, к которому уже многие привыкли. Основное действие, выполняемое для текущего элемента предпочтения - это управление автозагрузкой указанной службы. Доступны следующие основные действия:</li><ul><li><strong>Без изменений</strong>. Данный параметр следует использовать лишь в том случае, когда нет необходимости изменения состояния службы;</li><li><strong>Автоматически (отложенный запуск)</strong>. Используя текущий параметр, вы определяете настройку на автоматический запуск службы при загрузке операционной системы, однако, для более быстрого запуска, служба должна запускаться через указанный промежуток времени;</li><li><strong>Автоматически</strong>. Этот параметр используется для того чтобы автоматически запустить системную службу сразу после загрузки или выполнения входа пользователя в систему;</li><li><strong>Вручную</strong>. Данный параметр настраивается для того чтобы служба запускалась в ручном режиме;</li><li><strong>Отключено</strong>. Текущий параметр предназначен для отключения службы.</li></ul><p>В этом примере первой службой будет настраиваться служба <strong>Планировщик заданий</strong>, а желательно, чтобы в качестве ее типа запуска было установлено <strong>Автоматически</strong>.</p><p>В текстовом поле <strong>Имя</strong> нужно указать уникальное имя службы, которое в большинстве случаев отличается от отображаемого имени. Все имена служб знать не обязательно. Если вы не помните название той или иной службы - не страшно. Нажмите на кнопку обзора (<strong></strong>) и в отобразившемся диалоговом окне <strong>Выберите службу</strong>, найдите искомую службы и нажмите на кнопку <strong>Выбрать</strong>. Например, как видно на следующей иллюстрации, была выбрана служба <strong>Планировщик заданий</strong>:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-03.jpg" alt="*" width="455" height="389"/></p><p><strong>Рис. 2. Диалоговое окно выбора системной службы</strong></p><p>Раскрывающийся список <strong>Действие службы</strong> предназначен для определения параметра запуска или остановки системной службы после обработки остальных параметров конфигурации. Доступны такие действия, как <strong>Запуск службы</strong>, <strong>Остановка службы</strong>, <strong>Перезапуск службы</strong> или <strong>Перезапуск службы по требованию</strong>, которые не требуют подробных объяснений. В этом примере выбрано действие <strong>Запуск службы</strong>.</p><p>Параметр <strong>Время ожидания, если служба заблокирована</strong> предназначен для указания временной задержки, в течение которой служба будет находиться в заблокированном состоянии после запуска, перезапуска или остановки.</p><p>Группа <strong>Вход в систему</strong> предназначена для определения учетной записи, используемой службой при входе в систему. Во всех возможных случаях может использоваться четыре вида учетных записей: <strong>Локальная система</strong>, <strong>Локальная служба</strong>, <strong>Сетевая служба</strong> или пользовательская учетная запись. Если установить переключатель на опцию Нет изменений, то в настройки учетных записей при регистрации службы в операционной системе не будут внесены никакие изменения. Выбрав опцию <strong>С системной учетной записью</strong> вы укажите, что служба должна использовать учетную запись <strong>Локальная система</strong>. Если вам нужно запустить службу от имени <strong>Локальная служба</strong>, установите переключатель на опцию <strong>Эту учетную запись</strong> и укажите <strong>NT AUTHORITY\LocalService</strong>. Если нужно указать сетевую службу, в качестве имени учетной записи укажите <strong>NT AUTHORITY\NetworkService</strong>. Во всех остальных случаях вам еще нужно будет указать пароль к выбранной учетной записи.</p><p>Так как служба <strong>Планировщик заданий</strong> должна запускаться от имени локальной системы, установите переключатель на опцию <strong>С системной учетной записью</strong>. Вкладка <strong>Общие</strong> изображена ниже:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-04.jpg" alt="*" width="404" height="448"/></p><p><strong>Рис. 3. Вкладка Общие элемента предпочтения служб</strong></p><li>На вкладке <strong>Восстановление</strong> вы можете указать рекомендуемые действия при первом, втором и каждом последующем сбоях текущей службы. Как сам интерфейс, так и все действия, которые вы можете выбрать в текущей вкладке, полностью совпадают с действиями вкладки <strong>Восстановление</strong> диалогового окна свойства службы. То есть, в качестве каждого сбоя вы можете выбрать параметры <strong>Без изменений</strong>, <strong>Не выполнять никаких действий</strong>, <strong>Перезапуск службы</strong>, <strong>Запуск программы</strong> или <strong>Перезагрузка компьютера</strong>. Также как и в диалоговом окне свойств службы, тут можно указать число дней, по истечении которого счетчик сбоев службы должен быть сброшен, а также число минут, по истечении которых служба будет перезапускаться, а группа <strong>Запуск программы</strong> станет активной только при выборе параметра <strong>Запуск программы</strong> для любого сбоя. Так как в случае со службой <strong>Планировщик заданий</strong>, рекомендуемыми настройками являются перезапуск службы после первого и второго сбоя, а при всех последующих сбоях не следует выполнять каких-либо действий, выберите те параметры, которые указаны на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-05.jpg" alt="*" width="404" height="448"/></p><p><strong>Рис. 4. Настройка действий восстановления на запуск при сбое службы</strong></p><li>Последним действием при настройке элемента предпочтения служб является настройка общих параметров. Эта вкладка ничем не отличается от элементов предпочтений из узла <strong>Конфигурация Windows</strong>. Так как основным условием является тактовая частота процессора, установите флажок на опции <strong>Нацеливание уровень элемента</strong> и перейдите к редактору нацеливания. В диалоговом окне редактора нацеливания, из раскрывающегося списка <strong>Создать элемент</strong> выберите элемент <strong>Скорость ЦП</strong>. Для этого элемента, выберите из раскрывающегося списка больше либо равно значение 2000 мегагерц. Настроенное окно редактора нацеливания для первого элемента предпочтения можно увидеть на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/110920055923/gppref8-06.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-06_mini_oszone.jpg" alt="*" width="480" height="326"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Диалоговое окно редактора нацеливания для элемента предпочтения служб</strong></p><li>Сохраните все внесенные в элемент предпочтения изменения. Теперь создайте еще два элемента предпочтения для служб со следующими настройками:</li><ul><li><strong>Темы</strong>. Автозагрузка - <strong>Автоматически</strong>, действие службы <strong>Запуск службы</strong>, вход от имени <strong>Локальная система</strong>, после первого и второго сбоя - <strong>Перезапуск службы</strong>, после последующих - не выполнять никаких действий, счетчики - по <strong>1</strong>;</li><li><strong>Центр обновления Windows</strong>. Автозагрузка - <strong>Автоматически (отложенный запуск)</strong>, действие службы <strong>Запуск службы</strong>, вход от имени <strong>Локальная система</strong>, после первого сбоя - <strong>Перезапуск службы</strong>, после второго и последующих - не выполнять никаких действий, счетчики - по <strong>1</strong>;</li></ul><p>После создания этих двух элементов предпочтения, редактор управления групповыми политиками должен выглядеть следующим образом:</p><br/><p><a href="http://www.oszone.net/figs/u/72715/110920055923/gppref8-07.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110920055923/gppref8-07_mini_oszone.jpg" alt="*" width="480" height="342"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Редактор управления групповыми политиками</strong></p><li>И последнее действие, которое предстоит сделать - это привязать созданный нами объект групповой политики к такому подразделению, чтобы настройки системных служб распространялись на всех пользователей в организации. В моем случае, таким подразделением выступает подразделение <strong>Пользователи</strong>, которое является родительским подразделением в иерархии подразделений с пользовательскими учетными записями. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики с данным подразделением. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Теперь на все компьютеры, у которых тактовая частота процессора превышает 2 гигагерца, будут распространяться настройки системных служб, согласно созданным элементам предпочтения.</p><h2>Заключение</h2><br><p>Из этой статьи вы узнали об очередном элементе предпочтения групповой политики <strong>Службы</strong>, предназначенном для управления системными службами операционных систем. Рассмотрены примеры по управлению существующих служб. Также вкратце был рассмотрен очередной элемент нацеливания предпочтений на уровень элемента, позволяющий распространять настройки элементов предпочтений только на компьютеры с тактовой частотой, не менее той, которая указана в элементе нацеливания.</p> http://www.microsoft.com/rus/business/smb/blog/120/ Microsoft for Business <p>Немного ранее вы узнали о назначении и настройках расширения клиентской стороны Установка программ. Помимо этого были рассмотрены два варианта развертывания программного обеспечения средствами групповой политики, а именно публикация и назначение приложений. Соответственно, вы уже имеете представление о том, как лучше в той или иной ситуации развертывать приложения для ваших компьютеров или пользователей. Также вы знаете, что устанавливать приложения средствами GPO можно только в том случае, если установочные файлы представлены в виде *.MSI- или *.ZAP-файлов. Для начала следует немного разобраться в методах развёртывания приложений средствами групповой политики.</p><p><strong>MSI файлы и установщик Windows</strong>. Технология Windows Installer является подсистемой операционной системы Windows, которая обеспечивает установку, управление и удаление программного обеспечения на рабочих станциях Windows. В связи с тем, что ранние версии установщика Windows назывались Microsoft Installer, установочные пакеты, в которых содержаться устанавливаемые файлы вместе с прочей информацией, необходимой для установки имеют расширение <strong>*.msi</strong>. Технология установщика Windows состоит из двух компонентов: самого файла установки программного обеспечения и службы Windows Installer. Служба Windows Installer (Msiexec.exe) управляет установкой программного обеспечения и считается одним из лучших стандартов, предназначенных для корпоративного развертывания. Для того чтобы можно было считать файлы *.msi, служба установщика Windows использует библиотеку Msi.dll. Установочные пакеты *.msi включают в себя базу данных с необходимыми для установки и удаления приложений инструкциями.</p><p>Если вернуться немного в историю установщика Windows, то можно вспомнить, что первая версия Windows Installer была анонсирована в 1999 году с выходом Microsoft Office 2000, а в конце того же года эта технология стала частью операционной системы <a href="http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx" target="_blank" title="Посетите техцентр Windows Server 2000">Windows 2000</a>. Начиная с Windows Installer, в версии 3.0 стала доступной возможность установки нескольких патчей в одной транзакции. Эти патчи можно применять независимо от порядка, в котором они предоставляются системе, что позволяет значительно быстрее проводить установку. В Windows Installer 4.5 появилась возможность инсталляции нескольких установочных пакетов при помощи обработки транзакции. То есть, в том случае, если все пакеты не могут быть успешно проинсталлированы или пользователь отменяет процесс установки, установщик Windows может откатить все изменения и вернуть компьютер в исходное состояние. В Установщике Windows версии 5.0 в установочных пакетах можно указывать дескрипторы безопасности, которые могут наследовать разрешения от родительского ресурса или определять разрешения учетной записи пользователя.</p><p>Сам *.msi-файл представляет собой составной документ OLE, который включает в себя взаимосвязанные таблицы, содержащие различную информацию о продукте и процессе установки. Помимо составного документа OLE в msi-файлах хранятся вспомогательные библиотеки DLL, устанавливаемые файлы, расположенные в cab-архивах, а также пользовательские сценарии, если таковые необходимы для установки приложения. Файлы, расположенные в установочном пакете msi можно просмотреть, предварительно распаковав такой пакет при помощи команды: <strong><em>msiexec /a %путь_к_MSI_файлу% /qb TARGETDIR=%конечная папка%</em></strong>. Вы можете настраивать пакеты установщика Windows при помощи одного из следующих файлов:</p><ul><li><strong>Файлы исправления *.msp</strong>. Файл исправлений представляет собой автономный пакет, содержащий обновления для приложения и описание версии приложения, для которой может применяться текущий патч. Патчи содержат как минимум, два преобразования базы данных и могут содержать файлы исправлений, хранящиеся в CAB-файлах. Помимо этого, в msp-файлах можно найти инструкции о применении обновлённых файлов, а также разделов и параметров реестра. В связи с тем, что файлы исправлений могут содержать как полную версию файлов, так и отдельные биты файла, пользователь может загрузить пакет исправления, который занимает значительно меньше места, чем загружаемый инсталляционный пакет с новой версией программного продукта;</li><li><strong>Файлы трансформации *.mst</strong>. Файлы трансформации предоставляют параметры конфигурации для установленных приложений. Файлы трансформации содержат сведения о компонентах, функциях, свойствах параметров и изменения, которые можно использовать для настройки приложения. Например, компания Adobe предоставляет корпоративное средство развертывания Adobe Acrobat Reader, или же при помощи средства Office Resource Kit, вам предоставляется возможность настройки конкретных параметров во время установки.</li></ul><p><strong>ZAP файлы</strong>. Можно найти такие приложения, для которых не существует установочного пакета Windows Installer. Это могут быть простые приложения, для которых не нужны какие-либо настройки или обновления, например, программа, предназначенная для просмотра изображений IrfanView. Для установки такой программы вы можете создать zap-файл, который будет включать в себя инструкции по установке приложения. Сложность такого пакета низкоуровневых приложений на основе инициативы нулевого администрирования (ZAW, Zero Administration for Windows) напрямую зависит от администратора. В таком файле обязательными являются только первые две строки, где:</p><ul><li><strong>FriendlyName</strong> - имя, которое будет отображаться в компоненте панели управления <strong>Программы и компоненты</strong>;</li><li><strong>SetupCommand</strong> - путь к файлу установки приложения. Вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.</li></ul><p>Пример этих строк zap-файла может быть следующим:</p><pre>FriendlyName = Новое приложениеSetupCommand = \\FileServer\Install\setup.exe /unattend</pre><p>Также для того чтобы в расширении <strong>Установка программ</strong> или в компоненте панели управления <strong>Программы и компоненты</strong> отображалась версия приложения, можно добавить следующий необязательный параметр: <strong>DisplayVersion = 2.13.1.5</strong>. Можно отметить еще несколько необязательных параметров:</p><ul><li><strong>Publisher</strong> - Название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления <strong>Программы и компоненты</strong> и расширении <strong>Установка программ</strong>.</li><li><strong>URL</strong> - Адрес в сети Интернет для получения дополнительной информации о приложении.</li></ul><p>В отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки. Другими словами, вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора. Приложения всегда устанавливаются локальным администратором.</p><h2>Настройка инсталляционного пакета MSI</h2><br><p>В следующем примере будет рассматриваться настройка установочного пакета MSI для программного продукта Microsoft <a href="http://technet.microsoft.com/ru-ru/office/bb267346.aspx" target="_blank" title="Узнайте больше об Office 2007">Office 2007</a>. Внимательный читатель может задаться вопросом: зачем мне нужно в компании устанавливать офисный пакет 2007-года, если уже вышла версия Microsoft <a href="http://technet.microsoft.com/ru-ru/office/ee263913.aspx" target="_blank" title="Узнайте больше об Office 2010">Office 2010</a>, даже с первым пакетом обновлений. Все просто. Развертывание офисного пакета Microsoft Office 2010 не поддерживает установку средствами расширения клиентской стороны <strong>Установка программ</strong>. И так как вы можете развертывать Microsoft Office 2010 только из локального источника установки, из общей сетевой папки, средствами System Center Configuration Manager, System Center Essentials, с использованием сценариев запуска компьютера из групповой политики, а также с использованием Microsoft <a href="http://technet.microsoft.com/ru-ru/appvirtualization/default.aspx" target="_blank" title="Узнайте больше о виртуализации приложений">Application Virtualization</a>, будет рассматриваться установка Microsoft Office 2007. Об установке Microsoft Office 2010 с использованием сценариев запуска компьютера из групповой политики будет рассказано в одной из следующих статей.</p><p>Процесс предварительной настройки офисного пакета до самого развертывания можно разделить на несколько этапов:</p><ol><li>Создание сетевой точки установки;</li><li>Интеграция обновлений в дистрибутив;</li><li>Настройка MS Office 2007 средствами Office Customization Tool;</li><li>Настройка файла config.xml;</li><li>Копирование установочных файлов в сетевую точку установки.</li></ol><p>Рассмотрим по порядку каждый из этих этапов.</p><h2>Создание сетевой точки установки</h2><br><p>При развертывании в корпоративной среде пакета Microsoft Office 2007, создание сетевой точки установки обычно считается стартовым этапом, так как установочные файлы должны располагаться в общедоступном расположении. В противном случае ваши пользователи не смогут получить доступ к файлам, из которых должна производиться установка программного обеспечения. В принципе, лучше всего хранить установочные файлы на файловом сервере, к которому должны получать доступ на чтение даже пользователи с минимальными полномочиями. Например, вы можете создать группу безопасности <strong>Установка программного обеспечения</strong> с разрешениями на чтение и выполнение, и туда помещать пользователей, на компьютеры которых будет устанавливаться Microsoft Office 2007.</p><p>Выделяемое место на общедоступном сетевом ресурсе зависит от языка программного обеспечения, а также от версии продукта. Например, для Microsoft Office 2-7 Standard следует выделить не менее 660 мегабайт, а для Microsoft Office 2007Professional Plus - по меньшей мере, 980 мегабайт. Для Microsoft Office 2007 Enterprise выделяйте не менее одного гигабайта. Стоит обязательно обратить внимание на то, что по умолчанию каждая точка установки содержит лишь один язык и при добавлении дополнительного языка следует выделить дополнительное пространство.</p><p>Также не стоит забывать о важности репликации сетевого источника. Многие могут задаться вопросом, для чего вообще нужно реплицировать установочные файлы?. В принципе, ответ прост. В большинстве случаев после установки Microsoft Office у пользователей нет необходимости ссылаться к сетевому источнику для обновления или повторной установки приложения, так как установщик при инсталляции продукта автоматически создает локальный источник установки на компьютерах каждого пользователя. А вот если локальный источник будет поврежден, а необходимо в кратчайшие сроки развернуть программное обеспечение, пригодится сетевая точка установки. Репликация сетевого источника установки крайне важна по причине <strong>доступности</strong>, так как создание несколько сетевых точек установки гарантирует, что пользователь всегда может получить доступ к сетевому источнику; <strong>гибкости</strong>, то есть вы можете реплицировать настройки корпоративной конфигурации продукта из основной сетевой точки в региональные, а там уже изменять дополнительные настройки, согласно их уникальным требованиям. Также можно принять во внимание близость к пользователям, то есть, имея несколько филиалов, будет выгоднее разместить в каждом филиале по одной сетевой точке установки, чтобы сэкономить трафик.</p><h2>Интеграция обновлений в дистрибутив</h2><br><p>Вполне очевидно, что у каждого программного продукта есть уязвимости, периодически для продуктов должны появляться новые функциональные возможности, предназначенные для улучшения производительности, надежности и многое другое. Microsoft Office не является исключением и для него регулярно выходят <strong>исправления</strong> - накопительные пакеты, решающие проблемы в определенном продукте, <strong>общие обновления</strong> - исправления важных проблем, не связанных с безопасностью, <strong>обновления безопасности</strong> - представляет собой исправление уязвимости безопасности для определенного продукта, а также <strong>пакет обновления</strong> - накопительный набор исправлений, общих обновлений, а также обновлений безопасности.</p><p>Пользователи могут получать обновления любым из следующих способов:</p><ul><li><strong>Центр обновления</strong>. При помощи центра обновления Windows пользователи, которые подключены к сети Интернет, могут загружать файлы обновлений и исправлений с серверов обновлений Microsoft. Настройками центра обновлений Windows можно управлять средствами групповой политики;</li><li><strong>При помощи Windows Server Update Services</strong>. Серверная роль, предназначенная для развертывания обновлений продуктов компании Microsoft в сети организации. Серверы с установленной ролью WSUS подключаются к серверам обновлений Microsoft, синхронизируют существующие обновления со своей базой данных, а затем распространяют последние обновления на клиентские компьютеры и сервера в организации;</li><li><strong>Средствами <a href="http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx" target="_blank" title="Узнайте больше о System Center Configuration Manager">System Center Configuration Manager</a></strong>. Представляет собой средство распространения программного обеспечения, которое обычно используется в средних и крупных организациях. Данное средство также позволяет управлять обновлениями для ваших пользователей;</li><li><strong>Через самоизвлекающиеся файлы</strong>. Практически все обновления, которые можно загрузить с сервером обновления Microsoft, представлены в виде самоизвлекающихся *.EXE файлов. Этот вариант лучше всего использовать в том случае, если в сети вашей организации много компьютеров, причем, не установлены ни WSUS-сервер, ни System Center <a href="http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx" target="_blank" title="Узнайте больше о System Center Configuration Manager">Configuration Manager</a>. Стоит обратить внимание, что лучше всего применять обновления, запустив сам exe файл и не распаковывать из этого файла *.MSP;</li><li><strong>Из папки Updates</strong>. Этот метод применяется лишь в том случае, когда вам нужно развернуть обновления для Microsoft Office во время процесса первой установки. Рассмотрим вкратце текущий метод.</li></ul><p>Несмотря на то, что пользователи в любом случае получат обновления, будет существенно надежнее, если критически важные обновления будут изначально включены в установочный пакет. Установщик Microsoft Office 2007 создает локальный источник установки во время процесса установки, а затем сама установка обновлений происходит следующим образом. Программа установки копирует сжатые исходные файлы установки на компьютеры, затем вызывается установщик Windows, который выполняет фактическую установку из локального источника установки. Добавить обновления в инсталляционный пакет Microsoft Office очень просто. В корневой папке с установочными файлами Microsoft Office есть папка Updates. В этой папке должны находиться все обновления и исправления программного продукта, представленные в виде *.msp-файлов, которые будут устанавливаться во время первоначальной установки Microsoft Office 2007. Во время установки Microsoft Office проверяется папка Updates на наличие обновлений, которые относятся к текущей версии программного обеспечения и устанавливаются последовательно по одному файлу обновлений. Порядок установки указывается при помощи средства <strong>Office Customization Tool</strong>.</p><h2>Настройка MS Office 2007 средствами Office Customization Tool</h2><br><p>Начиная с Microsoft Office 2007, для изменения предустановленных настроек, в установочном пакете программного продукта появился инструмент Office Customization Tool, позволяющий изменить большинство настроек. Этот инструмент можно вызвать, запустив файл <strong>setup.exe</strong> с параметров <strong>/admin</strong>. Должен запуститься инструмент, где, прежде всего, вам нужно будет указать продукт, для которого будет создаваться файл конфигурации. Списки продуктов формируются автоматом на основании того, какие версии продукта присутствуют в папке с установочными файлами. Пример диалогового окна выбора продукта можно увидеть на следующей иллюстрации:</p><p><a href="http://oszone.net/figs/u/72715/110911090919/gpsi2-02.JPG" target="_blank"><img src="http://oszone.net/figs/u/72715/110911090919/gpsi2-02_mini_oszone.JPG" alt="*" width="480" height="280"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Выбор продукта для работы с инструментом Office Customization Tool</strong></p><p>У этого инструмента есть некоторые опции, которые можно отнести к обязательным и их следует настраивать в первую очередь, а также есть дополнительные настройки, без которых можно и обойтись, однако, если вы их заполните, то можно сказать, что конечный установленный продукт будет настроен оптимальным образом. К основным настройкам можно отнести: путь, по которому будет устанавливаться Microsoft Office, название компании, лицензионный ключ, а также компоненты, которые будут устанавливаться на компьютеры пользователей. Рассмотрим эти основные настройки:</p><ol><li>В диалоговом окне <strong>Office Customization Tool</strong> выберите группу <strong>Setup</strong> и перейдите к разделу <strong>Installation location and organization name</strong>;</li><li>В текстовом поле <strong>Default installation path</strong> введите путь для установки файлов. По умолчанию выбрано расположение <strong>[ProgramFilesFolder]\Microsoft Office</strong>, что представляет собой папку Microsoft Office, которая расположена в папке <strong>%ProgramFiles%</strong>. В большинстве случаев используется именно это расположение, и нет необходимости в его редактировании;</li><li>В текстовом поле <strong>Organization name</strong> введите имя компании, например, <strong>Biopharmaceutic</strong>, как показано ниже:</li><br/><p><a href="http://oszone.net/figs/u/72715/110911090919/gpsi2-03.jpg" target="_blank"><img src="http://oszone.net/figs/u/72715/110911090919/gpsi2-03_mini_oszone.jpg" alt="*" width="480" height="271"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Настройка пути и имени компании</strong></p><li>В группе <strong>Setup</strong> перейдите к разделу <strong>Licensing and user interface</strong>. Здесь в текстовом поле <strong>Product key</strong> вам нужно ввести 25-символьный ключ многопользовательской активации, так как этот ключ будет распространяться на все компьютеры, где будет развернут продукт Microsoft Office. Помимо ключа вам нужно в этом разделе подтвердить условия лицензионного соглашения, установив флажок на опции <strong>I accept the terms in the License Agreement</strong>, а также выбрать метод установки. По умолчанию выполняется интерактивная установка Microsoft Office, что позволяет пользователям выбирать устанавливаемые продукты и изменять настройки. Функционал Office Customization Tool предоставляет следующие варианты установки:</li><ul><li><strong>None</strong>. В данном случае, установка производится полностью автоматически без вмешательства пользователя. Данный вариант нас устраивает, так как не нужно давать пользователю возможности выбора настроек программы;</li><li><strong>Basic</strong>. В этом случае пользователи видят страницу приветствия и индикатор выполнения установки, а в том случае, если в данном инструменте не был введен ключ, то пользователи смогут его ввести вручную;</li><li><strong>Full</strong>. При выборе этого варианта, пользователи видят все шаги установки и могут изменять настройки. Этот параметр установлен по умолчанию.</li></ul><p>Из раскрывающегося списка <strong>Display level</strong> выберите вариант <strong>None</strong>, так как именно этот вариант считается оптимальным согласно корпоративным требованиям.</p><p>Также здесь вы можете указать дополнительный режим интерфейса:</p><ul><li><strong>Completion notice</strong>. В данном случае появляется сообщение, свидетельствующее об успешном завершении установки;</li><li><strong>Suppress modal</strong>. Данное представление предназначено для вывода сообщений об ошибках. В том случае, если выбрано представление <strong>Full</strong>, пользователю будут выводиться все сообщения об ошибках. При выборе представления <strong>Basic</strong> или <strong>None</strong>, данный режим устанавливается автоматически, определяя, что все модальные окна, а также сообщение о завершении установки будут скрыты от пользователя, однако все сообщения об ошибках будут записываться в определенный журнал;</li><li><strong>No cancel</strong>. В том случае, если были выбраны представления Full или Basic, у пользователя не будет возможности во время установки Microsoft Office отменить процесс установки.</li></ul><p>В большинстве случаев, если было указано представление <strong>None</strong>, следует выбирать дополнительный режим <strong>Suppress modal</strong>;</p><br/><p><a href="http://oszone.net/figs/u/72715/110911090919/gpsi2-04.jpg" target="_blank"><img src="http://oszone.net/figs/u/72715/110911090919/gpsi2-04_mini_oszone.jpg" alt="*" width="480" height="271"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Настройка ключа и метода отображения процесса установки</strong></p><li>Для настройки компонентов, которые будут устанавливаться на компьютеры пользователей, перейдите к группе <strong>Features</strong>, а затем выберите раздел <strong>Set feature installation states</strong>. В этом разделе вы можете указать компоненты, которые будут устанавливаться, копироваться в локальный источник установки и компоненты, которые будут недоступны для установки. Например, предположим, что пользователям не нужны такие компоненты как Microsoft Office Groove, Microsoft Office Publisher, а также Microsoft Office InfoPath. Выберите эти компоненты и из раскрывающегося списка выберите команду <strong>Not available</strong>, как показано ниже:</li><br/><p><a href="http://oszone.net/figs/u/72715/110911090919/gpsi2-05.JPG" target="_blank"><img src="http://oszone.net/figs/u/72715/110911090919/gpsi2-05_mini_oszone.JPG" alt="*" width="480" height="270"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Выбор устанавливаемых компонентов</strong></p></ol><p>Помимо этих основных возможностей, вы можете еще настраивать параметры для каждого компонента Microsoft Office, добавлять дополнительные сетевые точки установки, выполнять задачи с ранее установленными экземплярами Microsoft Office, изменять ярлыки, настраивать учетные записи Outlook, добавлять при установке отдельные файлы, а также выполнять много других действий.</p><p>После того как настройка будет завершена вам нужно будет сохранить файл параметров установки. Если вы настраиваете один MSP-файл для всех пользователей, поместите этот файл в папку Updates.</p><h2>Настройка файла config.xml</h2><br><p>Так как поведение установки Microsoft Office определяется XML-файлом, для задач, связанных с установкой и обслуживанием Microsoft Office предназначен файл config.xml. Файл Config.xml используется для настройки задач установки и используется только при запуске программы установки. По умолчанию данный файл хранится в папке EnterpriseWW и setup.exe, который расположен в корневой папке с установочными файлами Microsoft Office во время начала установки будет использовать данный файл из папки EnterpriseWW. Стоит обратить внимание, что файл Config.xml не устанавливается и не кэшируется на компьютере пользователя. В большинстве случаев, если вы уже выполняли настройки при помощи инструмента Office Customization Tool, файл config.xml не следует изменять. Этот файл обычно используется для выполнения следующих задач:</p><ul><li><strong>Определение пути точки сетевой установки</strong>. В файле config.xml следует настраивать элемент DistributionPoint в том случае, если файл конфигурации был сохранен в папке, отличной от папки с установочными файлами продукта;</li><li><strong>Выбор продукта для установки</strong>;</li><li><strong>Настройка установщика на создание локального источника установки (LIS)</strong>;</li><li><strong>Настройка на поиск обновлений, в папках отличных от Updates</strong>;</li><li><strong>Добавление или удаление дополнительных языков</strong>;</li></ul><h2>Копирование установочных файлов в сетевую точку установки</h2><br><p>Последним этапом перед развертыванием установочного пакета средствами узла <strong>Установка программ</strong> групповой политики является копирование установочных файлов в сетевую точку установки, которая была создана еще на первом этапе.</p><p>В зависимости от продукта, который будет устанавливаться средствами групповой политики все этапы кроме создания сетевой точки установки и копирования установочных файлов в сетевую точку установки могут отличаться. Другими словами, некоторые установочные файлы вам не нужно будет трогать, и достаточно будет лишь поместить их в сетевую точку установки, а некоторые придется конфигурировать, как в случае с Microsoft Office 2007.</p><p>После всех выполненных ранее действий можно переходить к следующему этапу, а именно к процессу создания объекта групповой политики для развертывания программного обеспечения.</p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/119/ Microsoft for Business <h2>Описание доклада</h2><br /><ol><li>Сценарии доступа</li><li>Сценарии SharePoint API Auth</li><li>Использование классов и методов аутентификации</li><li>Пример использования проверки подлинности FBA</li><li>Получение персональных данных и редактирование их </li></ol><IFRAME style="WIDTH: 470px; HEIGHT: 390px" src="http://www.techdays.in.ua/LectureViewer.aspx?LectureId=31f383e3-3b8a-40f2-a60c-421803d3fd55" frameBorder=0 scrolling=no mce_src="http://www.techdays.in.ua/LectureViewer.aspx?LectureId=31f383e3-3b8a-40f2-a60c-421803d3fd55"></IFRAME> http://www.microsoft.com/rus/business/smb/blog/118/ Microsoft for Business <p>По данным исследования ФОМ, условия для развития бизнеса в России считают неблагоприятными 64% предпринимателей. В качестве основных препятствий для развития бизнеса предприниматели обозначают высокие налоги (41%), бюрократию и административные проволочки (31%), плохую законодательную базу (21%). Вышеперечисленные факторы являются для бизнеса внешними, не адресуемыми в краткосрочной перспективе. </p><p>В современных конкурентных условиях, с жесткой борьбой среди производителей товаров и услуг как за место на полке, так и за лояльность потребителя, появляется необходимость искать и использовать новые малозатратные способы для дифференциации.</p><p>Предлагаем ознакомиться с результатами совместного исследовательского проекта Microsoft и ФОМ, направленного на изучение стратегий клиенториентированности в российском бизнесе. Обратите внимание, мы не претендуем на 100% объективность, этого не позволяет методология, но сделанные нами выводы помогают лучше понять вектор развития клиенториентированности как стратегии бизнеса в России. </p><p>Вместе с заинтересованными представителями российского бизнеса мы собираемся дальше изучать и обсуждать практические аспекты клиенториентированности. Если вам интересно - приглашаем к дискуссии в нашей <a href="http://www.facebook.com/MS4business" target="_blank" title="MS4business">группе в Facebook</a>!</p><p>Читать <a href="http://download.microsoft.com/documents/rus/business/smb/blog/FOM_Customer_Centricity.pdf" target="_blank" title="результаты исследования">результаты исследования</a> (pdf)</p> http://www.microsoft.com/rus/business/smb/blog/117/ Microsoft for Business <p>Практические примеры использования бизнес анализа и автоматизации.</p><p><iframe width="560" height="315" src="http://www.youtube.com/embed/KYZkpepaBk4" frameborder="0" allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/116/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущих статьях текущей цикла вы уже узнали и, возможно, проверили на живых примерах несколько основных элементов предпочтений групповой политики. К этим основным элементам относятся: элемент предпочтения среды, предоставляющий возможность управления переменными средами ваших пользователей и их компьютеров, элементы предпочтений, предназначенные для создания и управления папками и файлами для компьютеров и пользователей. Помимо этого было рассказано о сопоставлении дисков и о создании и управлении ярлыками. Также ранее был рассмотрен, по моему мнению, основной элемент предпочтения <strong>Реестр</strong>, благодаря которому вы можете указывать предустановленные настройки для установленного программного обеспечения или изменять системные параметры, для которых не было создано отдельных параметров групповой политики. В принципе, используя совместно рассмотренные ранее элементы предпочтений групповой политики, вы можете выполнять большую часть задач, которые у вас отнимали бы много времени. В этой статье мы с вами поговорим об очередном элементе предпочтений групповой политики - об общих сетевых ресурсах.</p><p>Прежде чем начать рассматривать этот элемент предпочтений, думаю, следует напомнить или рассказать, что же такое общие сетевые ресурсы. Общим сетевым ресурсом называется диск, папка или другая часть информации, к которой должен осуществляться удаленный доступ с другого компьютера организации, причем, отображаемая так, как если бы ресурс находился на локальном компьютере. В большинстве случаев общие ресурсы располагаются на файловых серверах. Доступ к общим ресурсам предоставляется клиентским компьютерам посредством особого назначения имён, подобного UNC. Функционал предпочтений групповой политики предоставляет возможность управления общими сетевыми ресурсами при помощи одноименного элемента предпочтения. За это расширение клиентской стороны отвечает динамическая библиотека gpprefcl.dll, а также с CSE связан идентификатор GUID {6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}, расположенный на вашем контроллере домена. В отличие от большинства элементов предпочтений, вы можете воспользоваться текущим CSE только в узле <strong>Конфигурация компьютера</strong>.</p><h2>Узел предпочтений групповой политики Общие сетевые ресурсы</h2><br><p>При помощи данного элемента предпочтений, как уже было упомянуто ранее, вы можете управлять сетевыми ресурсами. Другими словами, вам предоставляется возможность создания общих ресурсов, изменения пути к папке общего ресурса или изменение его свойств, а также удаления общего сетевого ресурса или изменения лимита пользователей. Стоит обратить внимание на то, что при помощи данного элемента предпочтений групповой политики вы не можете создавать или удалять папки, на которые будут ссылаться соответствующие ресурсы и для создания общего сетевого ресурса необходимо, чтобы папка, использованная для этой цели уже была создана на каждом компьютере, к которому будет применен объект GPO. Также нужно помнить о таком моменте, что в то время как сопоставленными дисками можно управлять только для пользователей, с общими сетевыми ресурсами можно работать только компьютерам. Этот момент следует учесть при планировании развертывания групповой политики.</p><p>В следующем примере будет рассмотрена простейшая операция, связанная с добавлением общего ресурса, а именно, создание самого общего сетевого ресурса, к которому могут подключаться не более пяти пользователей, причем, на компьютере должно быть не менее 4 гигабайт оперативной памяти. Для того чтобы выполнить требования, указанные в текущем сценарии, следуйте следующим инструкциям:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>. В отобразившейся оснастке, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего перейдите к узлу <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект GPO <strong>Общие сетевые ресурсы</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из <a href="http://www.outsidethebox.ms/tag/context-menus/" target="_blank" title="Узнайте, как настроить под себя контекстные меню Windows 7">контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация компьютера\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Сетевые общие ресурсы</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong> и <strong>Сетевой ресурс</strong>, как показано на следующей иллюстрации:</li><br/><p><a href="http://www.oszone.net/figs/u/72715/110908052940/gppref07-02.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110908052940/gppref07-02_mini_oszone.JPG" alt="*" width="480" height="352"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание элемента предпочтения групповой политики Общие сетевые ресурсы</strong></p><li>В отобразившемся диалоговом окне создания элемента предпочтения общего сетевого ресурса вы можете настроить общий сетевой ресурс. В раскрывающемся списке <strong>Действие</strong> вы можете выбрать одно из четырех стандартных действий, которые рассматривались в предыдущих статьях. Соответственно, вы можете выбрать действия, предназначенные для создания нового общего сетевого ресурса, удаления и его повторного создания с переопределением всех существующих параметров (<strong>Замена</strong>), изменения параметров для текущего общего сетевого ресурса, а также удаления последнего. Так как основной задачей текущего сценария является создание нового общего сетевого ресурса, из текущего раскрывающегося списка выберите команду <strong>Создать</strong>. Помимо выбора действия, вы также можете управлять шестью следующими параметрами:</li><ul><li><strong>Имя ресурса</strong>. В текущем текстовом поле вы можете указать имя общего сетевого ресурса. Например, введите в данном текстовом поле <strong>Генная терапия</strong>;</li><li><strong>Путь к папке</strong>. При помощи этого текстового поля вы можете задать путь к уже созданной заранее папке, для которой создается общий сетевой ресурс. В данном примере, общий сетевой ресурс будет располагаться по адресу <strong>С:\Генная терапия</strong>. Данное текстовое поле недоступно при выборе действия <strong>Удалить</strong>;</li><li><strong>Комментарий</strong>. Здесь вы можете добавить комментарий для общего сетевого ресурса, который будут видеть ваши пользователи. Укажите следующий комментарий: <strong>Перспективные направления биотехнологии</strong>. Также как и предыдущее текстовое поле, вы не можете вносить изменения в данное текстовое поле, если выбрать действие <strong>Удалить</strong>;</li><li><strong>Модификаторы действия</strong>. Модификаторы действия используются для совместного изменения или удаления общих сетевых ресурсов. Модификаторы действия можно выбирать только при обновлении или удалении общего сетевого ресурса. В этой группе вы можете выбирать следующие модификаторы:</li><ul><li><strong>Обновить (удалить) все обычные общие ресурсы</strong>. Текущий модификатор предназначен для изменения и удаления только тех общих ресурсов, которые не являются скрытыми или административными;</li><li><strong>Обновить (удалить) все скрытые неадминистративные общие ресурсы</strong>. Используя этот модификатор, вы можете позволить пользователям изменять или удалять скрытые общие ресурсы, то есть те ресурсы, которые заканчиваются знаком доллара $;</li><li><strong>Обновить (удалить) все административные общие ресурсы букв дисков</strong>. При помощи последнего модификатора можно позволить обновлять или удалять административные общие ресурсы с буквенным обозначением дисков.</li></ul><li><strong>Предельное число пользователей</strong>. В этой группе вы можете указать количество пользователей, которые могут одновременно получать доступ к указанному сетевому ресурсу. Например, для действий <strong>Создание</strong> или <strong>Замена</strong>, выбрав параметр <strong>Нет изменений</strong>, число пользователей, подключающихся к общему сетевому ресурсу будет настроено на максимально допустимое. Если вы хотите снять все возможные ограничения, следует выбрать параметр <strong>Максимально допустимое</strong>. Если же вам нужно лимитировать количество подключений к общему сетевому ресурсу, выберите параметр <strong>Не более</strong> и в соответствующем поле укажите предельное количество пользователей (значение по умолчанию 10). Установите переключатель на опцию <strong>Не более</strong> и укажите 5 пользователей;</li><li><strong>Перечисление на основе доступа</strong>. Данная группа параметров предназначена для настройки отображения папок общего ресурса. Соответственно, если вы хотите сделать так, чтобы общий сетевой ресурс отображался только у тех пользователей, которые обладают доступом на чтение к папке, установите переключатель на опцию <strong>Включить</strong>. Если же вам нужно, чтобы папки общего сетевого ресурса были видны абсолютно всем пользователям, установите переключатель на опцию <strong>Отключить</strong>. В данном сценарии установите переключатель на опцию <strong>Включить</strong>.</li></ul><p>Диалоговое окно нового сетевого общего ресурса можно увидеть на следующей иллюстрации:</p><br/><p><img src="http://www.oszone.net/figs/u/72715/110908052940/gppref07-03.JPG" alt="*" width="404" height="448"/></p><p><strong>Рис. 2. Вкладка Общие элемента предпочтения общего сетевого ресурса</strong></p><li>Следующим шагом в данном сценарии будет создание нацеливания на уровень элемента. В этом сценарии нужно применять элемент предпочтения только в том случае, если на компьютере более 4 гигабайт оперативной памяти. Перейдите на вкладку <strong>Общие параметры</strong>, установите флажок на опцию <strong>Нацеливание на уровень элемента</strong> и нажмите на кнопку <strong>Нацеливание</strong>.</li><p>В отобразившемся диалоговом окне <strong>Редактор нацеливания</strong> выберите из раскрывающегося списка <strong>Создать элемент</strong> элемент <strong>RAM</strong>. Как уже было сказано ранее, текущий элемент нацеливания позволяет применять элемент предпочтения только к тем пользователям и компьютерам (в данном случае, именно к компьютерам), оперативная память которых равна или превышает то значение, которое вы указываете в элементе нацеливания. Выберите в раскрывающемся списке <strong>больше или равно</strong> значение 4096МБ, как показано на следующей иллюстрации:</p><br/><p><a href="http://www.oszone.net/figs/u/72715/110908052940/gppref07-04.jpg" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110908052940/gppref07-04_mini_oszone.jpg" alt="*" width="480" height="326"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Редактор нацеливания</strong></p><li>Если у вас заранее не была создана соответствующая папка (в данном случае, это папка <strong>Генная терапия</strong>, расположенная на диске С), то вы можете создать такую папку в этом же объекте GPO. Для этого в дереве оснастки <strong>Редактор управления групповыми политиками</strong> перейдите к узлу <strong>Конфигурация компьютера\Настройка\Конфигурация Windows\Папки</strong>, создайте элемент предпочтения папок, где в раскрывающемся списке <strong>Действия</strong> выберите команду <strong>Создать</strong>, а в текстовом поле <strong>Путь</strong> укажите путь к данному ресурсу, например, <strong>C:\Генная терапия</strong>, как показано на следующей иллюстрации:</li><br/><p><img src="http://www.oszone.net/figs/u/72715/110908052940/gppref07-05.jpg" alt="*" width="404" height="448"/></p><p><strong>Рис. 4. Вкладка Общие элемента предпочтения Папки</strong></p><li>Теперь следует привязать объект GPO к подразделению, содержащему учетные записи компьютеров вашей организации. В данном случае просто привяжем созданный объект групповой политики к подразделению, в котором расположена учетная запись сервера <strong>DC</strong>, а именно к подразделению <strong>Серверы</strong>. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Проверим настройки, указанные в объекте групповой политики. Выполните вход в домен с компьютера, у которого более четырех гигабайт оперативной памяти, после чего откройте <strong><a href="http://www.outsidethebox.ms/tag/explorer/" target="_blank" title="Проводник - это не просто файловый менеджер. Ускорьте свою работу в облочке Windows!">Проводник</a> Windows</strong>. Перейдите на диск С. На диске С должна появиться папка <strong>Генная терапия</strong>. Откройте диалоговое окно свойств данной папки, перейдите на вкладку <strong>Доступ</strong>, а затем к диалоговому окну расширенной настройки общего доступа. Как видно на следующей иллюстрации, в диалоговом окне расширенной настройки общего доступа задано имя общего ресурса, предопределено примечание для общего ресурса, а также к этой папке одновременно могут подключиться не более пяти пользователей. Соответственно, элемент предпочтения объекта групповой политики правильно применился к данному компьютеру. Если перейти к компьютерам, на которых оперативной памяти меньше четырех гигабайт, то на них не будет создана папка <strong>Генная терапия</strong> и, соответственно, не будут выполнены действия по настройке общего доступа.</p><p><a href="http://www.oszone.net/figs/u/72715/110908052940/gppref07-06.JPG" target="_blank"><img src="http://www.oszone.net/figs/u/72715/110908052940/gppref07-06_mini_oszone.JPG" alt="*" width="480" height="371"/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Диалоговое окно расширенной настройки общего доступа для нового сетевого ресурса</strong></p><h2>Заключение</h2><br><p>В текущей статье было рассказано еще об одном элементе предпочтения групповой политики, предназначенном для управления сетевыми ресурсами, а именно о расширении клиентской стороны предпочтений групповой политики <strong>Сетевые общие ресурсы</strong>. В примере было рассмотрено создание такого сетевого ресурса, а также вы узнали еще об одном элементе нацеливания <strong>RAM</strong>.</p> http://www.microsoft.com/rus/business/smb/blog/115/ Microsoft for Business <p>Практические примеры использования бизнес анализа и автоматизации.</p><p><iframe width="480" height="360" src="http://www.youtube.com/embed/tR0aSBV9y2Q" frameborder="0" allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/114/ Microsoft for Business <p>Начальная настройка Windows Small Business Server 2011</p><p align="center"><iframe width="560" height="315" src="http://www.youtube.com/embed/q-myctyLeLs" frameborder="0" allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/113/ Microsoft for Business <p><object width="480" height="360"><param name="movie" value="http://www.youtube.com/v/GRifYy0vt6c?version=3&amp;hl=ru_RU&amp;rel=0" /><param name="allowFullScreen" value="true" /><param name="allowscriptaccess" value="always" /><embed src="http://www.youtube.com/v/GRifYy0vt6c?version=3&amp;hl=ru_RU&amp;rel=0" type="application/x-shockwave-flash" width="480" height="360" allowscriptaccess="always" allowfullscreen="true"></embed></object></p><p><object width="480" height="360"><param name="movie" value="http://www.youtube.com/v/dwjfMjUsuHI?version=3&amp;hl=ru_RU&amp;rel=0"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/dwjfMjUsuHI?version=3&amp;hl=ru_RU&amp;rel=0" type="application/x-shockwave-flash" width="480" height="360" allowscriptaccess="always" allowfullscreen="true"></embed></object></p> http://www.microsoft.com/rus/business/smb/blog/112/ Microsoft for Business <p><object width="420" height="315"><param name="movie" value="http://www.youtube.com/v/xTXDi_Cbk-I?version=3&amp;hl=ru_RU&amp;rel=0"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/xTXDi_Cbk-I?version=3&amp;hl=ru_RU&amp;rel=0" type="application/x-shockwave-flash" width="420" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object></p><p><object width="420" height="315"><param name="movie" value="http://www.youtube.com/v/gYRVKanePwc?version=3&amp;hl=ru_RU&amp;rel=0"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/gYRVKanePwc?version=3&amp;hl=ru_RU&amp;rel=0" type="application/x-shockwave-flash" width="420" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object></p> http://www.microsoft.com/rus/business/smb/blog/111/ Microsoft for Business <p>В этой статье мне хотелось бы представить вам самые эффективные приемы работы в Microsoft Excel, собранные мной за последние 10 лет работы над проектами и проведения тренингов по этой замечательной программе. Здесь нет описания суперсложных технологий, но есть приемы на каждый день - простые и эффективные, описанные без воды - только сухой остаток. На освоение большинства из этих примеров у вас уйдет не более одной-двух минут, а вот сэкономить они вам помогут гораздо больше.</p><h2>Быстрый переход к нужному листу</h2><br><p>Случается ли вам работать с книгами Excel, состоящими из большого количества листов? Если их больше десятка, то каждый переход к очередному нужному листу сам по себе становится маленькой проблемой. Простое и элегантное решение такой задачи - щелкнуть в левом нижнем углу окна по кнопкам прокрутки ярлычков листов не левой, а правой кнопкой мыши - появится оглавление книги с полным списком всех листов и на нужный лист можно будет перейти в одно движение:</p><p><img src=../../imgs/blogs/110/img001.jpg alt= width=190 height=126 /></p><p>Это намного быстрее, чем прокручивать ярлычки листов этими же кнопками в поисках нужного.</p><h2>Копирование без повреждения форматирования</h2><br><p>Сколько сотен (тысяч?) раз я видел эту картину, стоя за спиной своих слушателей во время тренингов: пользователь вводит формулу в первую ячейку затем и протягивает ее на весь столбец, нарушая форматирование нижерасположенных строк, поскольку такой способ копирует не только формулу, но и формат ячейки. Соответственно, дальше приходится вручную исправлять повреждения. Секунда на копирование и потом 30 - на починку испорченного копированием дизайна.</p><p>Начиная с Excel 2002, есть решение этой проблемы - простое и изящное. Сразу после копирования (протаскивания) формулы на весь столбец, нужно воспользоваться смарт-тегом - небольшим значком, который временно появляется в правом нижнем углу диапазона. Нажатие на него выведет список возможных вариантов копирования, где и можно выбрать <strong>Копировать только значения (</strong> <strong>Fill</strong> <strong>without</strong> <strong>formatting)</strong>. В этом случае формулы копируются, а форматирование - нет:</p><p><img src=../../imgs/blogs/110/img002.jpg alt= width=402 height=238 /></p><h2>Копирование только видимых ячеек</h2><br><p>Если вы работаете в Microsoft Excel больше недели, то должны были уже сталкиваться с подобной проблемой: в некоторых случаях при копировании-вставке ячеек их вставляется больше, чем было, на первый взгляд, скопировано. Это может происходить, если копируемый диапазон включал в себя скрытые строки/столбцы, группировки, промежуточные итоги или фильтрацию. Рассмотрим в качестве примера один из таких случаев:</p><p><img src=../../imgs/blogs/110/img003.jpg alt= width=327 height=115 /></p><p>В этой таблице посчитаны промежуточные итоги и сделана группировка строк по городам - это легко понять по кнопкам плюс-минус слева от таблицы и по разрывам в нумерации видимых строк. Если выделить, скопировать и вставить данные из этой таблицы обычным способом, то мы получим 24 лишних строки. Нам же хочется скопировать и вставить только итоги!</p><p>Можно решить проблему, кропотливо выделяя каждую строку итогов и удерживая при этом клавишу <strong>CTRL</strong> - как для выделения несмежных диапазонов. Но если таких строк не три-пять, а несколько сотен или тысяч? Есть другой, более быстрый и удобный путь:</p><p>Выделите копируемый диапазон (в нашем примере - это A1:C29)</p><p>Нажмите на клавиатуре клавишу <strong>F5</strong> и затем кнопку <strong>Выделить (</strong> <strong>Special)</strong> в открывшемся окне.<br />Появится окно, позволяющее пользователю выделять не все подряд, а только нужные ячейки:</p><p><img src=../../imgs/blogs/110/img004.jpg alt= width=248 height=250 /></p><p> В этом окне выберите опцию <strong>Только видимые ячейки (</strong> <strong>Visible</strong> <strong>cells</strong> <strong>only)</strong> и нажмите <strong>ОК</strong>.</p><p>Полученное выделение теперь можно смело копировать и вставлять. В результате мы получим копию именно видимых ячеек и вставим вместо ненужных 29-ти только необходимые нам 5 строк.</p><p>Если есть подозрение, что подобную операцию вам придется проделывать часто, то имеет смысл добавить на панель инструментов Microsoft Excel кнопку для быстрого вызова такой функции. Это можно сделать через меню <strong>Сервис>Настройка (</strong><strong>Tools></strong> <strong>Customize)</strong>, затем перейти на вкладку <strong>Команды (</strong><strong>Commands)</strong>, в категории <strong>Правка (</strong><strong>Edit)</strong> найти кнопку <strong>Выделить видимые ячейки (</strong><strong>Select</strong> <strong>visible</strong> <strong>cells)</strong> и перенести ее мышью на панель инструментов:</p><p><img src=../../imgs/blogs/110/img005.jpg alt= width=314 height=294 /></p><h2>Превращение строк в столбцы и обратно</h2><br><p>Простая операция, но если не знать как сделать ее правильно - можно потратить полдня на перетаскивание отдельных ячеек вручную:</p><p><img src=../../imgs/blogs/110/img006.jpg alt= width=96% /></p><p>На самом деле все просто. В той части высшей математики, которая описывает матрицы есть понятие транспонирования - действия, которое меняет строки и столбцы в матрице местами друг с другом. В Microsoft Excel это реализуется в три движения:Копируем таблицу</p><p>Щелкаем правой кнопкой мыши по пустой ячейке и выбираем команду <strong>Специальная вставка (</strong> <strong>Paste</strong> <strong>Special)</strong></p><p>В открывшемся окне ставим флаг <strong>Транспонировать (</strong> <strong>Transpose)</strong> и жмем <strong>ОК</strong>:</p><p><img src=../../imgs/blogs/110/img007.jpg alt= width=271 height=223 /></p><h2>Быстрое добавление данных в диаграмму</h2><br><p>Представим себе простую ситуацию: у вас есть отчет за прошлый месяц с наглядной диаграммой. Задача - добавить в диаграмму новые числовые данные уже за этот месяц. Классический путь ее решения - это открыть окно источника данных для диаграммы, где добавить новый ряд данных, введя его имя и выделив диапазон с нужными данными. Причем зачастую сказать это легче, чем сделать - все зависит от сложности диаграммы.</p><p>Другой путь - простой, быстрый и красивый - выделить ячейки с новыми данными, скопировать их (CTRL+C) и вставить (CTRL+V) прямо в диаграмму. Excel 2003, в отличие от более поздних версий, поддерживает даже возможность перетаскивания выделенного диапазона ячеек с данными и забрасывания его прямо в диаграмму с помощью мыши!</p><p>Если хочется контролировать все нюансы и тонкости, то можно использовать не обычную, а специальную вставку, выбрав в меню <strong>Правка>Специальная вставка (</strong> <strong>Edit></strong> <strong>Paste</strong> <strong>Special)</strong>. В этом случае Microsoft Excel отобразит диалоговое окно, позволяющее настроить куда и как именно будут добавлены новые данные:</p><p><img src=../../imgs/blogs/110/img008.jpg alt= width=96% /></p><p>Подобным же образом можно легко создать диаграмму, используя данные из разных таблиц с разных листов. На выполнение той же задачи классическим способом уйдет гораздо больше времени и сил.</p><h2>Заполнение пустых ячеек</h2><br><p>После выгрузки отчетов из некоторых программ в формат Excel или при создании сводных таблиц пользователи часто получают таблицы с пустыми ячейками в некоторых столбцах. Эти пропуски не позволяют применять к таблицами привычные и удобные инструменты типа автофильтра и сортировки. Естественным образом возникает необходимость заполнить пустоты значениями из вышестоящих ячеек:</p><p><img src=../../imgs/blogs/110/img009.jpg alt= width=149 height=189 /></p><p><img src=../../imgs/blogs/110/img010.jpg alt= width=149 height=189 /></p><p>Безусловно, при небольшом количестве данных, это легко можно сделать простым копированием - вручную протянув каждую заглавную ячейку в столбце А вниз на пустые ячейки. А если в таблице несколько сотен или тысяч строк и несколько десятков городов?</p><p>Есть способ решить эту задачу быстро и красиво при помощи одной формулы:</p><p>Выделите все ячейки в столбце с пустотами (т.е. диапазон A1:A12 в нашем случае)</p><p>Чтобы в выделении остались только пустые ячейки, нажмите клавишу F5 и в открывшемся окне переходов - кнопку Выделить. Увидите окно, позволяющее выбрать - какие именно ячейки мы хотим выделить:</p><p><img src=../../imgs/blogs/110/img011.jpg alt= width=354 height=264 /></p><p>Установите переключатель в положение <strong>Пустые (</strong> <strong>Blank</strong> <strong>)</strong> и нажмите <strong>ОК</strong>. Теперь в выделении должны остаться только пустые ячейки:</p><p><img src=../../imgs/blogs/110/img012.jpg alt= width=147 height=189 /></p><p>Не меняя выделения, т.е. не трогая мышь, введем формулу в первую выделенную ячейку (А2). Нажмите на клавиатуре на знак равно и затем на стрелку вверх. Получим формулу, которая ссылается на предыдущую ячейку:</p><p><img src=../../imgs/blogs/110/img013.jpg alt= width=145 height=189 /></p><p>Чтобы ввести созданную формулу сразу во все выделенные пустые ячейки, нажмите не клавишу ENTER, а сочетание <strong>CTRL+</strong> <strong>ENTER</strong>. Формула заполнит все пустые ячейки:</p><p><img src=../../imgs/blogs/110/img014.jpg alt= width=147 height=189 /></p><p>Теперь осталось только заменить формулы на значения для фиксации результатов. Выделите диапазон A1:A12, скопируйте его и вставьте в ячейки их значения, используя специальную вставку.</p><h2>Выпадающий список в ячейке</h2><br><p>Прием, который, без преувеличения, должен знать каждый, кто работает в Excel. Его применение способно улучшить, практически, любую таблицу вне зависимости от ее назначения. На всех тренингах я стараюсь показать его своим слушателям в первый же день.</p><p>Идея очень проста - во всех случаях, когда вы должны ввести данные из какого-либо набора, вместо ручного ввода в ячейку с клавиатуры выбирать нужное значение мышью из выпадающего списка:</p><p><img src=../../imgs/blogs/110/img015.jpg alt= width=142 height=142 /></p><p>Выбор товара из прайс-листа, имени клиента из клиентской базы, ФИО сотрудника из штатного расписания и т.д. Вариантов применения этой функции множество.</p><p>Чтобы создать выпадающий список в ячейке:</p><p>Выделите ячейки, в которых вы хотите создать выпадающий список.</p><p>Если у вас Excel 2003 или старше, то выберите в меню <strong>Данные>Проверка (Data>Validation)</strong>. Если у вас Excel 2007/2010, то перейдите на вкладку <strong>Данные (Data)</strong> и нажмите кнопку <strong>Проверка данных (Data validation)</strong>.</p><p>В открывшемся окне выберите вариант <strong>Список (List)</strong> из раскрывающегося списка.</p><p>В поле <strong>Источник (Source)</strong> надо указать значения, которые должны быть в списке. Тут возможны варианты:</p><p>Вписать в это поле текстовые варианты через точку с запятой</p><p>Если диапазон ячеек с исходными значениями находится на текущем листе - достаточно его просто выделить мышью.</p><p>Если он находится на другом листе этой книги, то ему придется заранее дать имя (выделить ячейки, нажать <strong>CTRL+F3</strong>, ввести имя диапазона без пробелов), а затем прописать это имя в поле <strong>Источник</strong>:</p><p><img src=../../imgs/blogs/110/img016.jpg alt= width=312 height=273 /></p><p>Также, именованный диапазон может быть динамическим, т.е. созданным на основе функций <strong>СМЕЩ (</strong> <strong>OFFSET)</strong> и <strong>СЧЁТЗ (</strong> <strong>COUNTA)</strong>. Тогда при дописывании к нему новых данных, они будут автоматически в него включаться и отображаться в выпадающем списке.</p><p>На вкладках <strong>Сообщение для ввода (Input Message)</strong> и <strong>Сообщение об ошибке (Error Alert)</strong> можно ввести подсказку для пользователя, которая будет появляться при выделении ячейки ввода и ругательное сообщение, если пользователь вместо выбора одного из разрешенных вариантов упрямо попытается вписать свой текст напрямую с клавиатуры:</p><p><img src=../../imgs/blogs/110/img017.jpg alt= width=200 height=111 /></p><p><img src=../../imgs/blogs/110/img018.jpg alt= width=296 height=190 /></p><h2>Заключение</h2><br><p>Надеюсь, что хотя бы некоторые из вышеописанных приемов вы найдете для себя полезными и они облегчат вам ежедневную работу в Microsoft Excel. В любом случае, буду рад ответить на все возникшие по поводу статьи вопросы и помочь в их решении - пишите по адресу info@planetaexcel.ru</p> http://www.microsoft.com/rus/business/smb/blog/110/ Microsoft for Business <p>Установка Windows Small Business Server 2011</p><p align=center><iframe width=560 height=315 src=http://www.youtube.com/embed/v5Dz8cZRNng frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/109/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 5</p><p align=center><iframe width=560 height=315 src=http://www.youtube.com/embed/As3M9bdD_vM frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/108/ Microsoft for Business <p>Visio 2010 активно используется для построения различных диаграмм, причем инструмент довольно популярен среди бизнес-пользователей. Рассмотрим интеграцию Visio 2010 и SharePoint 2010, чтобы понять преимущества их совместного использования. </p><p>Если вкратце, то в Visio 2010 можно создавать схемы рабочих процессов SharePoint с последующим импортом в SharePoint Designer. Тут стоит учесть, что данная возможность доступна только пользователям Visio Premium (сравнение выпусков Visio 2010 можно найти <a href=http://office.microsoft.com/ru-ru/visio/FX101838162.aspx target=_blank>здесь</a>). Перед началом работы настройте службы Visio (руководство можете найти <a href=http://technet.microsoft.com/en-us/library/ee524059.aspx target=_blank>здесь</a>).</p><h2>Графический отчет для списка задач</h2><br><p>В списке задач SharePoint 2010 на ленту вынесена кнопка <em>Создать схему </em><em>Visio </em>(рис. 7.25). Для примера я создал несколько задач. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb.png?w=628&amp;h=171 alt=image width=96% title=image/></a></p><p>Рис. 7.25. Кнопка для создания схемы Visio из списка задач </p><p>Кликаем на эту кнопку, и автоматически создается файл Visio со следующими страницами </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image1.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb1.png?w=573&amp;h=417 alt=image width=96% title=image/></a></p><p>Рис. 7.26. Страница <em>Состояние задач</em> в сгенерированном документе </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image2.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb2.png?w=571&amp;h=421 alt=image width=96% title=image/></a></p><p>Рис. 7.27. Страница <em>Распределение нагрузки</em> в сгенерированном документе </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image3.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb3.png?w=490&amp;h=422 alt=image width=490 height=422 title=image/></a></p><p>Рис. 7.28. Страница <em>Незавершенные задачи по назначению</em> в сгенерированном документе </p><p>Если список задач используется в рабочем процессе, то в документе дополнительно будет страница <em>Состояние задач рабочего процесса.</em></p><p>Полученный документ уже можно использовать в различных сценариях. Уже в этом виде документ можно использовать в различных сценариях. Например, можно оживить документ, чтобы при изменении статуса задач менялось содержимое файла. </p><p><em>Замечание</em>. Все операции, проделываемые со схемой Visio в дальнейшем, применимы к любой другой схеме Visio. В нашем случае полученный файл используется лишь для примера.</p><h2>Живые диаграммы</h2><br><p>В Visio 2010 на вкладке ленты <em>Данные</em> кликаем на кнопку <em>Связать данные с фигурами</em>, и появляется следующее окно (рис. 7.29). Как мы видим, список довольно обширен. Для примера выберем <em>Список </em><em>Microsoft </em><em>SharePoint </em><em>Foundation. </em>Кликаем на <em>Далее</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image4.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb4.png?w=509&amp;h=399 alt=image width=509 height=399 title=image/></a></p><p>Рис. 7.29. Окно подключения к источнику данных в Visio 2010 </p><p>В появившемся окне набираем адрес портала SharePoint и кликаем на <em>Далее</em>. </p><p>Далее нужно выбрать список, к которому мы хотим подключиться (рис. 7.30). Выберем список <em>Задачи.</em> Кликаем на <em>Готово</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image5.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb5.png?w=509&amp;h=398 alt=image width=509 height=398 title=image/></a></p><p>Рис. 7.30. Окно выбора списка для подключения </p><p>Как вы заметили, в нижней части документа отображаются подключенные данные в окне <em>Внешние данные</em>. Далее остается связать объекты схемы со строками из внешних данных простым перетаскиванием, либо же связать их автоматически (удобно, когда много объектов). </p><p>В группе ленты <em>Данные</em> кликните на кнопку <em>Связать автоматически</em>. В появившемся окно уже будет выбран пункт <em>Связать со всеми фигурами на странице</em>. Кликаем на <em>Далее</em>. </p><p>На следующем шаге (рис. 7.31) выбираем параметр, по которому осуществляется связь. В нашем случае по умолчанию выбран идентификатор. Если он уникален, то можно оставить значение по умолчанию, затем кликнуть <em>Далее</em> и <em>Готово</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image6.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb6.png?w=628&amp;h=381 alt=image width=96% title=image/></a></p><p>Рис. 7.31. Шаг выбора параметра связи </p><p>Таким образом, данные в схеме связаны с элементами списка на портале. Изменения отображаются в файле по определенному в настройках службы интервалу. </p><p>Для предоставления общего доступа воспользуемся веб-частью Visio Web Access, позволяющей просматривать содержимое документа, и встраивать его на страницы.</p><h2>Visio Web Access</h2><br><p>Сохраним документ на портале SharePoint сразу в Visio 2010, или загрузим файл через веб-интерфейс. Обращаю внимание, что для просмотра документа Visio в браузере нужно сохранить его как веб-документ (расширение vdw). </p><p>Добавим веб-часть на страницу со списком задач (в меню <em>Действия сайта</em>, выбираем <em>Редактировать страницу, </em>далее на странице кликаем на <em>Добавить веб-часть </em>). Нужная веб-часть находится в каталоге <em>Бизнес-данные </em>(рис. 7.32)<em>.</em></p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image7.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb7.png?w=495&amp;h=229 alt=image width=495 height=229 title=image/></a></p><p>Рис. 7.32. Веб-часть Visio Web Access в каталоге <em>Бизнес-данные</em></p><p>После добавления на страницу веб-части, в ее параметрах нужно указать адрес веб-документа (рис. 7.33) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/09/image8.png><img src=http://dplotnikov.files.wordpress.com/2011/09/image_thumb8.png?w=241&amp;h=543 alt=image width=241 height=543 title=image/></a></p><p>Рис. 7.33. Параметры веб-части Visio Web Access </p><p>Рассмотрим несколько групп параметров веб-части: </p><ul><li><em>Панель инструментов и пользовательский интерфейс</em> - выбор отображения кнопок на панели инструментов, а также отображение элементов управления навигации по страницам и масштабом </li><li><em>Интерактивность веб-документа</em> - отключение/включение масштабирования, панорамирования, гиперссылок, выделения</li></ul><p>После применения всех параметров кликаем на <em>ОК</em>, и сохраняем страницу. На самом деле совместную работу Visio и SharePoint можно усложнить, о чем и будет идти речь далее. </p><h2>Соединенные веб-части</h2><br><p>В параметрах веб-части Visio Web Access в группе <em>Отображение веб-документа</em> зададим значение параметра <em>Сделать следующие элементы данных фигуры доступными подключениям веб-частей</em>, равным ИД (так для связывания объектов схемы Visio и элементов списка мы использовали это поле) и кликнем <em>ОК</em>. </p><p>Далее кликаем на меню веб-части Visio Web Access и видим нужный нам раздел <em>Соединения</em> (рис. 7.34). Доступны следующие типы подключений: </p><ul><li><em>Отправить Данные фигуры</em> - соединение позволяет отправить данные из объекта схемы в выбранную веб-часть в виде строки. По умолчанию отправляется имя и идентификатор объекта, адрес-веб документа и название страницы, на которой размещен объект. Если нужно отправлять дополнительные элементы, то нужно указать их названия в параметре <em>Сделать следующие элементы данных фигуры доступными подключениям веб-частей </em>(если элементов несколько, то в качестве разделителя используется запятая); </li><li><em>Получить Имя страницы и </em><em>URL-адрес веб-документа из</em> - отображается веб-документ с параметрами, полученными из другой веб-части. Если не указана страница, то в указанном документе отобразится страница по умолчанию; если же не указан адрес веб-документа, то отображается текущий документ; </li><li><em>Получить Фигуры для выделения из </em>- можно выделить объекты на схеме. Доступны следующие параметры - имя объекта и цвет выделения; </li><li><em>Получить значения фильтров из </em>- можно фильтровать диаграмму Visio, которая в качестве источника данных использует список SharePoint. Когда фильтруется список, на диаграмме выделяются объекты, которые связаны с отфильтрованными элементами списка; </li><li><em>Получить Фигуры для просмотра из </em>- можно отобразить определенные объекты схемы, подключенной к веб-части Visio Web Access. Нужно указать имя объекта и уровень увеличения. Удобно использовать в больших схемах, показывая лишь их части.</li></ul><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image9.png?w=630 width=96%/></p><p>Рис. 7.34. Способы соединения веб-частей </p><p>Для нашего файла выберем <em>Отправить Данные фигуры в</em> и кликнем на <em>Задачи </em>(напомню, что ранее мы добавили веб-часть Visio Web Access на страницу с задачами). </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image10.png?w=630 width=459 height=107/></p><p>Рис. 7.35. Соединение веб-части Visio Web Access и списка Задачи </p><p>Далее появляется окно для настройки подключения. Можно выбрать один из двух типов соединения - <em>Получить значения фильтров из</em> или<em> Получить параметры из</em>. Выберем первый вариант и кликнем <em>Настроить</em>, или перейдем на другую вкладку (рис. 7.36) </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image11.png?w=630 width=456 height=151/></p><p>Рис. 7.36. Настройка соединения списка и веб-части диаграммы </p><p>В нашем случае выберем в обоих случаях ИД, так как для связи списка SharePoint и объектов схемы мы использовали это поле, и кликаем на <em>Готово</em>. Обращаю ваше внимание, что поле ИД в <em>Имени поля поставщика</em> будет недоступно, если оно не указано в свойствах веб-части, что уже было проделано нами ранее. </p><p>Проверим, что же мы сделали. Откроем, например, страницу <em>Распределение загрузки</em>, и кликаем на любого пользователя (рис. 7.37), при этом в списке отображаются все задачи только для выбранного нами пользователя. Также можно выбрать задачи любого пользователя в зависимости от его статуса готовности. </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image12.png?w=630 width=96%/></p><p>Рис. 7.37. Отфильтрованный список по задачам для пользователя </p><p>Рассмотрим оставшиеся возможности, которые предоставляют службы Visio.</p><h2>JavaScript API в службах Visio</h2><br><p>JavaScript API позволяет разработчикам работать с веб-документами Visio, их страницами и объектами на страницах. </p><p>API службы содержит только четыре объекта и их члены (рис. 7.38): </p><ul><li>Класс <em>Vwa.</em><em>VwaControl</em> - объект представляет собой экземпляр веб-части Visio Web Access. Используя методы данного объекта, можно получить доступ к информации о веб-части и диаграмме Visio, отображаемой в веб-части. Кроме этого, можно выполнять различные действия, такие как открытие документов Visio в веб-части, получение и установка отображаемой активной страницы, добавление и удаление обработчиков событий, а также отображение и скрытие настраиваемых сообщений. При необходимости узнайте о <a href=http://msdn.microsoft.com/en-us/library/ff394663.aspx target=_blank>методах</a> и <a href=http://msdn.microsoft.com/en-us/library/ff394574.aspx target=_blank>событиях</a> класса. </li><li>Класс <em>Vwa.</em><em>Page</em> - объект представляет собой активную страницу веб-документа, отображаемую в текущий момент в веб-части Visio Web Access. Методы объекта можно использовать для выбора фигур на странице и доступа к сведениям о фигурах, включая идентификатор и положение фигуры, а также размер ограничивающего прямоугольника вокруг фигуры. При необходимости узнайте о <a href=http://msdn.microsoft.com/en-us/library/ff394434.aspx target=_blank>методах</a> класса. </li><li>Класс <em>Vwa.</em><em>ShapeCollection</em> - объект представляет собой коллекцию объектов фигур на активной странице в веб-документе, который в настоящий момент отображается в веб-части Visio Web Access. При необходимости узнайте о <a href=http://msdn.microsoft.com/en-us/library/ff394473.aspx target=_blank>методах</a> класса. </li><li>Класс <em>Vwa.</em><em>Shape</em> - объект представляет собой одну фигуру на активной странице веб-документа. Методы объекта позволяют получать сведения о конкретной фигуре и взаимодействовать с ней. При необходимости узнайте о <a href=http://msdn.microsoft.com/en-us/library/ff394593.aspx target=_blank>методах</a> класса.</li></ul><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image13.png?w=630 width=526 height=369/></p><p>Рис. 7.38. Неполная схема объектной модели JavaScript API в службах Visio </p><p>В дальнейшем примере будет использоваться веб-документ Visio, полученный нами ранее. Создадим новую страницу, добавим на нее веб-часть Visio Web Access и подключим к ней наш веб-документ (если вы забыли, как это делается, вернитесь немного назад). </p><p>Создадим файл Visio.js, который будет содержать скрипт для подсвечивания объекта веб-документа при наведении на него указателя мыши. </p><p>Присоединим наш обработчик к событию класса Sys.Application. В этом обработчике мы получим веб-документ Visio по идентификатору веб-части Visio Web Access. Идентификатор можно посмотреть в исходном коде страницы (ищем класс <em>VisioWebAccess</em>, в нем ищем строку вида <em>WebPartWPQ#</em>, где # - искомый числовой идентификатор), либо воспользуемся следующей функцией (рис. 7.39). Схема работы функции аналогична ручному поиску идентификатора. </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image14.png?w=630 width=491 height=268/></p><p>Рис. 7.39. Функция для поиска идентификатора веб-части Visio Web Access </p><p>Объект класса <em>VwaControl</em> позволяет использовать метод <em>openDiagram</em> для открытия веб-документа. Асинхронный механизм выполнения метода не позволяет использовать этот объект снова, поэтому воспользуемся событием <em>Vwa.</em><em>diagramcomplete </em>(возникает после окончания загрузки веб-документа Visio в веб-части) и напишем для него обработчик. В функцию добавим обработчики для подсветки выделенных объектов веб-документа при наведении на них указателя мыши (рис. 7.40). </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image15.png?w=630 width=547 height=593/></p><p>Рис. 7.40. Скрипт для подсветки выделенных объектов </p><p>Остается добавить методы для обработки события наведения указателя мыши на объект (рис. 7.41). Методы вызываются с параметром <em>args</em>, содержащим идентификатор объекта веб-документа. В методе <em>onShapeMouseEnter</em> мы подсвечиваем объект, а в <em>onShapeMouseLeave</em> убираем подсветку, когда указатель мыши не указывает на подсвеченный ранее объект. </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image16.png?w=630 width=510 height=413/></p><p>Рис. 7.41. Методы для подсветки объекта при наведении на него указателя мыши </p><p>Сохраним и загрузим скрипт в ту же библиотеку документов, что и веб-документ Visio. </p><p>На страницу с веб-частью для просмотра веб-документа добавим также веб-часть <em>Редактор контента </em>(находится в каталоге <em>Среда и контент</em>). В свойствах веб-части укажем ссылку на файл Visio.js (рис. 7.42) и кликнем на <em>ОК</em>. </p><p><img src=http://dplotnikov.files.wordpress.com/2011/09/image17.png?w=630/></p><p>Рис. 7.42. Свойства веб-части <em>Редактор контента</em></p><p>Обновите страницу, и проверьте, что у вас получилось. </p><p>Таким образом, интеграция Visio и SharePoint позволяет предоставлять общий доступ к документам с возможностью просмотра содержимого в браузере. Возможность подключения документа к различным источникам данных позволяет обойтись без ручного внесения изменений. А с помощью JavaScript можно сделать документ еще более интерактивным!</p> http://www.microsoft.com/rus/business/smb/blog/107/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 4 - 2</p><p align=center><iframe width=560 height=315 src=http://www.youtube.com/embed/gzzeWIJceNo frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/106/ Microsoft for Business <h2>Описание доклада</h2><br /><p>Веб каст Современные тенденции развития корпоративных сетей на базе SharePoint 2010. Доклад предназначен для ИТ менеджеров или маркетологов или руководителей.</p><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId><input type=hidden value=http://www.techdays.in.ua/get.aspx?MID=079393f5-0bd8-48d8-b202-ffe6d69c0641 id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl><div style=height:400px;width:460px id=silverlightControlHost><div id=silverlightPlayer><object style=height:380px;width:460px type=application/x-silverlight-2 data=data:application/x-silverlight-2,><param value=http://www.techdays.in.ua/TechDaysPlayer.xap name=source><param value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=079393f5-0bd8-48d8-b202-ffe6d69c0641&amp;IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3801,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=079393f5-0bd8-48d8-b202-ffe6d69c0641&amp;width={0}&amp;height={1} name=initParams><param value=onSilverlightError name=onError><param value=white name=background><param value=3.0.40624.0 name=minRuntimeVersion><param value=true name=autoUpgrade><a style=text-decoration: none; href=http://go.microsoft.com/fwlink/?LinkID=124807><img style=border-style: none alt=Get Microsoft Silverlight src=/App_Themes/9-9/images/zaglushka.png></a></object></div><div style=display: none id=MediaPlayer><object style=height:380px;width:460px type=application/x-ms-wmp id=Player> <param value=http://www.techdays.in.ua/get.aspx?MID=079393f5-0bd8-48d8-b202-ffe6d69c0641&amp;IsSilverLight=false name=URL><param value=False name=AutoStart><param value=true name=stretchToFit><param value=true name=SendPlayStateChangeEvents></object></div> <iframe style=visibility: hidden; height: 0; width: 0; border: 0px></iframe> <div style=text-align:center; font-size: 14px; padding-bottom: 10px; class=PlayerSwitcher><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a style=display:none onclick=ChangeLink(true) href=javascript: id=silverlightLink>Watch using Silverlight</a> <a onclick=ChangeLink(false) href=javascript: id=WindowsMediaLink>Watch using Windows Media Player</a></div></div></div> </div> http://www.microsoft.com/rus/business/smb/blog/105/ Microsoft for Business <h2>Введение</h2><br><p>В каждой организации, перед пользователями разных отделов встает необходимость в использовании различного программного обеспечения, как от корпорации Microsoft (например, продукты Microsoft Office), так и от сторонних производителей программного обеспечения. Некоторые системные администраторы предпочитают ходить по рабочим местам своих пользователей и устанавливать программные продукты вручную. Этот метод нельзя считать удачным, так как в таком случае системному администратору понадобиться потратить не один день, чтобы установить программные продукты всем пользователям в организации, которая насчитывает даже 50 человек, не говоря уже об организациях, где работают сотни, а то и тысячи пользователей. В ИТ-среде, для развертывания автоматизации программного обеспечения в Windows-системах существует несколько решений. Такие решения можно найти как у сторонних производителей программного обеспечения, так и у корпорации Microsoft. К продуктам, предназначенным для развертывания программного обеспечения, созданным компанией Microsoft можно отнести такие продукты как <a href=http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx target=_blank title=Узнайте больше о System Center Configuration Manager>System Center Configuration Manager</a> (MS <a href=http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx target=_blank title=Узнайте больше о System Center Configuration Manager>SCCM</a>), ранее известный как Microsoft <a href=http://technet.microsoft.com/ru-ru/systemcenter/bb545936.aspx target=_blank title=Узнайте больше о Systems Management Server>Systems Management Server</a> (<a href=http://technet.microsoft.com/ru-ru/systemcenter/bb545936.aspx target=_blank title=Узнайте больше о Systems Management Server>SMS</a>), его бюджетный вариант System Center Essentials, а также <a href=http://technet.microsoft.com/ru-ru/systemcenter/bb741049.aspx target=_blank title=Узнайте больше о System Center Updates Publisher>System Center Updates Publisher</a>. Если же вы не планируете затратить дополнительные расходы на приобретение комплексных решений, предназначенных для развертывания и инвентаризации операционных систем и программного обеспечения, вы можете воспользоваться функционалом групповой политики. Если в сети вашей организации все пользователи и компьютеры входят в домен Active Directory, у вас уже не осталось рабочих мест, работающих под операционными системами Windows 9х или Windows NT, то это решение, скорее всего, вам подойдет. Функционал групповой политики предоставляет администраторам простой и удобный пользовательский интерфейс, предназначенный для установки, обновления и удаления программного обеспечения. Не так давно, в одной из статей цикла по структуре групповой политики, рассматривался процесс публикации программного обеспечения, реализуемый средствами расширения клиентской стороны <strong>Установка программ</strong>. В этой статье вы узнаете о том, как работать с этим расширением CSE.</p><h2>Первое знакомство с узлом Установка программ</h2><br><p>Перед тем как начать распространять установочные пакеты программного обеспечения на клиентские компьютеры, следует немного разобраться с узлом оснастки <strong>Редактор управления групповой политикой</strong>, предоставляющим такую возможность. Чтобы перейти к расширению CSE <strong>Установка программ</strong>, на контроллере домена, в оснастке <strong>Управление групповой политикой</strong> создайте новый объект GPO, перейдите к оснастке <strong>Редактор управления групповой политикой</strong>, выбрав команду <strong>Изменить</strong> <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a>, созданного вами объекта групповой политики и в дереве консоли отобразившейся оснастки, разверните узел <strong>Конфигурация программ</strong>. В данном узле вы найдете только одно расширение клиентской стороны <strong>Установка программ</strong>, для которого в панели сведений по умолчанию нет ни одного параметра политики. Для этого расширения клиентской стороны вы можете задавать настройки, которые будут считаться предпочтительными при создании новых инсталляционных пакетов программного обеспечения. Выделите узел <strong>Установка программ</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Свойства</strong>. В отобразившемся диалоговом окне свойств узла установки программ, вы можете задавать настройки параметров установки программного обеспечения по умолчанию на следующих четырех вкладках:</p><ul><li><strong>Общие</strong>. Расширение клиентской стороны <strong>Установка программ</strong> предоставляет возможность развертывания программного обеспечения для пользователей или компьютеров путем публикации или назначения. Так как не на каждом пользовательском компьютере можно найти инсталляционные пакеты программного обеспечения, перед развертыванием приложений необходимо скопировать инсталляционный пакет в общедоступное сетевое размещение, причем, доступ к этому ресурсу должен быть предоставлен не только пользователям, но и компьютерам, для которых будут устанавливаться приложения. Соответственно, если программное обеспечение будет устанавливаться для всех пользователей на конкретном компьютере, то вам следует предоставить доступ для чтения для учетной записи компьютера, а если приложения будут распространяться на пользователей, то для общего ресурса следует указать доступ для чтения пользователям. Если вы хотите, чтобы при создании новых инсталляционных пакетов у вас всегда было установлено определенное расположение, на вкладке <strong>Общие</strong> диалогового окна свойств узла <strong>Установка программ</strong>, укажите путь к сетевому ресурсу в текстовом поле <strong>Расположение пакетов по умолчанию</strong>. Помимо установки расположения по умолчанию, вы можете указать при помощи параметров пользовательского интерфейса способ добавления новых пакетов программного обеспечения. Вы можете принудительно указать публикацию или назначение программного обеспечения, выбрать особый метод установки, позволяющий указать публикацию или назначение с доступной настройкой дополнительных свойств инсталляционного пакета или выбрать опцию <strong>Открывать диалоговое окно Развертывание программ</strong>, предназначенную для выбора метода добавления новых программных пакетов в ручном режиме. Еще на текущей вкладке вы можете указать пользовательский интерфейс, который будет доступен при установке программного обеспечения пользователям. На этом этапе установим расположение инсталляционных пакетов, а остальные опции оставим без изменений. Данная вкладка диалогового окна свойств расширения CSE <strong>Установка программ</strong> отображена ниже:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110714061446/gpsi1-02.jpg alt=* width=404 height=448/></p><p><strong>Рис. 1. Вкладка Общие диалогового окна свойств узла Установка программ</strong></p><li><strong>Дополнительно</strong>. На вкладке <strong>Дополнительно</strong> вам предоставляется возможность управления параметрами, предназначенными для автоматического удаления неуправляемых приложений, публикации информации OLE при развертывании приложений в Active Directory, а также доступа к 32-разрядным приложениям на 64-разрядных операционных системах. По умолчанию, 32-разрядные инсталляторы программного обеспечения с установщиком Windows Installer доступны для компьютеров с 64-разрядной архитектурой. Если для развертывания 32-разрядных приложений вы используете низкоуровневые zap-файлы, которые также придется развертывать на 64-разрядных платформах, установите соответствующий флажок. Вкладку <strong>Дополнительно</strong> текущего диалогового окна вы можете увидеть на следующей иллюстрации:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110714061446/gpsi1-03.jpg alt=* width=404 height=448/></p><p><strong>Рис. 2. Вкладка Дополнительно диалогового окна свойств узла Установка программ</strong></p><li><strong>Расширения файлов</strong>. В том случае, если вы назначаете или публикуете приложение, оно может быть установлено как при загрузке компьютера, выполнении пользователем входа в систему, а также при открытии документа, который сопоставляется с данным приложением. Чаще всего, с одним расширением ассоциируется одно приложение. Например, файлы с расширением *.docx в подавляющем большинстве случаев ассоциируются с программой Microsoft Office Word. А вот, например, файлы с расширением *.jpeg могут открываться как в Microsoft Paint, так и в таких приложениях как <strong>Фотоальбом <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Windows Live</a></strong>, графический редактор Adobe Photoshop и многих других. И для того чтобы при открытии файла с определенным расширением устанавливалось именно то приложение, которое вам нужно, следует воспользоваться возможностями, предоставленными на вкладке <strong>Расширения файлов</strong>. На этой вкладке выберите нужное файловое расширение из раскрывающегося списка <strong>Выберите расширение</strong>. После того как вы выберите нужное расширение, в области <strong>Порядок приложений</strong> будут отображены все программы, ассоциированные в Active Directory с текущим расширением. Очередность программ можно изменять по нажатию на кнопку <strong>Вверх</strong> и <strong>Вниз</strong>. Соответственно, если пользователь откроет файл с выбранным вами расширением, а необходимое программное обеспечение на его компьютере не установлено, операционная система установит первое, указанное в данном списке приложение. Эту вкладку вы можете увидеть на следующей иллюстрации:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110714061446/gpsi1-04.jpg alt=* width=404 height=448/></p><p><strong>Рис. 3. Вкладка Расширения файлов диалогового окна свойств узла Установка программ</strong></p><li><strong>Категории</strong>. Последняя вкладка доступная для настройки параметров узла <strong>Установка программ</strong>, предназначена для создания списка категорий для программ, отображаемых в окне <strong>Установка и удаление программ</strong> операционной системы <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. Доступны опции для создания, редактирования и удаления существующей категории программ. Например, чтобы создать новую категорию программ, нажмите на кнопку <strong>Добавить</strong> и в отобразившемся диалоговом окне <strong>Ввод новой категории</strong> задайте наименование создаваемой вами категории программного обеспечения. На следующей иллюстрации вы можете увидеть вкладку <strong>Категории</strong> с диалоговым окном изменения созданной ранее категории <strong>Безопасность</strong>:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110714061446/gpsi1-05.JPG alt=* width=401 height=445/></p><p><strong>Рис. 4. Вкладка Категории диалогового окна свойств узла Установка программ</strong></p></ul><h2>Публиковать или назначать?</h2><br><p>Как вы знаете, функционал политик расширения клиентской стороны групповой политики <strong>Установка программ</strong> предусматривает два варианта развертывания программного обеспечения для пользователей и компьютеров. При создании инсталляционных пакетов, развертываемых при помощи расширения клиентской стороны <strong>Установка программ</strong> групповой политики вопрос, связанный с тем, нужно ли назначать или публиковать приложение возникает чаще всего. Руководствоваться выбором опции развертывания программного обеспечения следует, исходя из следующих соображений:</p><ul><li>будет ли программой пользоваться один пользователь, независимо от компьютера, на котором он выполняет вход или будут ею пользоваться несколько сотрудников на одной рабочей станции;</li><li>должно ли приложение установиться автоматически или дать возможность пользователю установить эту программу при необходимости;</li><li>должны ли пользователи иметь возможность удалять развернутое приложение;</li><li>есть ли необходимость в создании установочного файла низкоуровневого пакета приложения.</li></ul><p>Прежде всего, перед тем как создавать политики распространения программного обеспечения вам нужно определить, будет ли приложение устанавливаться для компьютера или для пользователя, который может выполнить вход в домен с любого компьютера в организации. Например, если определенной программе нужен доступ к системному реестру без повышения пользовательских полномочий, ее целесообразно устанавливать в папку %USERPROFILE%, другими словами, устанавливать для пользователя. Некоторые программы, такие как Microsoft Office устанавливаются для всех пользователей на компьютере, соответственно, такой программный продукт нужно устанавливать для компьютера. На этом этапе можно уже отчасти определиться, какую опцию развертывания программного обеспечение следует выбрать, так как публиковать программы можно только для пользователя, а назначать программы можно как для компьютера, так и для пользователя. Другими словами, опубликованные приложения пользователи могут установить по своему желанию, а назначенные программные продукты считаются обязательными и устанавливаются самостоятельно.</p><p>Назначенные программы для компьютера устанавливаются при следующем запуске компьютера, а приложения, назначаемые для пользователей, будут доступны для установки в виде ярлыка на рабочем столе и в меню <strong>Пуск</strong> при следующем выполнении входа пользователя в систему. То есть, при назначении приложения обновляются параметры системного реестра на пользовательском компьютере, а также создаются ярлыки на рабочем столе и в меню <strong>Пуск</strong>. К основному преимуществу назначения программного обеспечения для компьютера также можно отнести тот факт, что от пользователя не требуется никаких действий, то есть, пользователь выполнил вход в систему, программа уже установлена и ее можно запустить, воспользовавшись ярлыком на рабочем столе. В случае с публикацией приложения, приложение автоматически не устанавливается и ярлык для данного приложения невозможно будет найти на рабочем столе или в меню <strong>Пуск</strong>. Его установку можно настроить при открытии пользователем программы из окна <strong>Программы и компоненты</strong>, а также можно указать настройки для установки программного обеспечения при попытке открытия файла с расширением, сопоставленным с устанавливаемой программой.</p><p>Также стоит обратить внимание на то, что если вам нужно предоставить возможность пользователю удалить программу из своего компьютера, вам следует или опубликовать такое приложение или назначить его для пользователя. Причем, в случае с опубликованным приложением, пользователь его сможет установить повторно из панели управления, а в случае с назначением, программа, доступная для установки будет отображена на рабочем столе в виде ярлыка, а также в меню <strong>Пуск</strong>. Последний момент, который следует учесть перед выбором опции развертывания приложений - это поддержка форматов установочных файлов. Назначенные приложения поддерживают только формат установщика Windows Installer, то есть, если перед вами встанет необходимость автоматизации установки низкоуровневых пакетов приложений zap, такое программное обеспечение вам придется только опубликовывать.</p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/104/ Microsoft for Business <p>В этой части руководства рассматриваются следующие темы </p><ul><li>Введение </li><li>Office Web Apps </li><li>Excel 2010 <ul><li>Импорт данных из электронной таблицы в список <ul><li>Веб-часть импорта таблицы </li><li>Экспорт из Excel 2010</li></ul></li><li>Экспорт списка/библиотеки в Excel</li></ul></li></ul><h2>Введение</h2><br><p>Одно из самых важных преимуществ SharePoint 2010 - его интеграция с Microsoft Office 2010. Самый простой способ интеграции - в офисных приложениях при сохранении документа можно указать сайт SharePoint. Рассмотрим подробнее возможные сценарии работы в Office 2010 и SharePoint 2010.</p><h2>Office Web Apps</h2><br><p>SharePoint 2010 используется как централизованное хранилище документов. Естественное желание пользователей - просматривать и редактировать документы в браузере. Но данная возможность отсутствует в поставке по умолчанию. </p><p>На помощь могут прийти Office Web Apps, которые позволяют работать с Microsoft Word, Excel, PowerPoint и OneNote (аналогично тому, как работает <a href=https://skydrive.live.com/ target=_blank>SkyDrive</a>). Статьи по развертыванию веб-приложений Office Web Apps и ссылки на загрузки можно найти <a href=http://technet.microsoft.com/ru-ru/office/ee815687.aspx target=_blank>здесь</a>. После развертывания пользователи получают инструментарий, позволяющий работать с документами прямо в браузере, в том числе с мобильных устройств. Также можно отметить удобный механизм совместной работы над документами, который появился в первом пакете обновления. Замечу, что Office Web Apps уже настроены для использования в SharePoint Online.</p><h2>Excel 2010</h2><br><p>Как уже было сказано, SharePoint 2010 тесно интегрирован с Office 2010, в частности, Excel 2010. Рассмотрим ниже некоторые сценарии интеграции.</p><h2>Импорт данных из электронной таблицы в список</h2><br /><p>Рассмотрим два способа для выполнения указанной задачи.</p><h2>Веб-часть импорта таблицы</h2><br /><p>Откройте сайт, на который вы хотите импортировать данные. Кликните на <em>Действия сайта</em>, затем на <em>Дополнительные параметры</em>. В появившемся окне нужно выбрать <em>Импорт из электронной таблицы</em>, и кликнуть <em>Создать </em>(рис. 7.1). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb.png?w=628&amp;h=353 alt=image width=95% title=image/></a></p><p>Рис. 7.1. Окно выбора шаблона списка </p><p>После чего нужно указать имя нового списка, описание и расположение файла (рис. 7.2). Если у вас при импорте появилась ошибка Указанный файл не является допустимой электронной таблицей или не содержит данных для импорта , то способ ее исправления можно найти <a href=http://support.microsoft.com/kb/2557451/ru target=_blank>здесь</a>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image1.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb1.png?w=628&amp;h=195 alt=image width=95% title=image/></a></p><p>Рис. 7.2. Страница создания списка с помощью импорта из Excel </p><p>Далее открывается указанная книга Excel, и нужно указать, какие данные будут импортированы (рис. 7.3). </p><p>Доступны следующие типы диапазонов: </p><ul><li>Диапазон ячеек - указываются произвольные ячейки таблицы; </li><li>Диапазон таблицы - предлагается выбрать таблицы из списка; </li><li>Именованный диапазон - предлагается выбрать именованные диапазоны (если они есть)</li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image2.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb2.png?w=628&amp;h=304 alt=image width=95% title=image/></a></p><p>Рис. 7.3. Окно выбора данных для импорта в список </p><p>Список создан, при желании можно изменить его параметры, например, название, или создать представления. Обращаю ваше внимание, что в этом случае синхронизация между содержимым файла и списка НЕ происходит.</p><h2>Экспорт из Excel 2010</h2><br /><p>Рассмотрим еще один вариант импорта электронной таблицы в список. Для начала нужно создать таблицу (рис. 7.4). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image3.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb3.png?w=387&amp;h=267 alt=image width=387 height=267 title=image/></a></p><p>Рис. 7.4. Окно создания таблицы </p><p>После чего при клике на любой ячейке таблицы на ленте появляется конструктор для работы с таблицами (рис. 7.5). Кликнем на <em>Экспорт таблицы в список </em><em>SharePoint</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image4.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb4.png?w=628&amp;h=157 alt=image width=95% title=image/></a></p><p>Рис. 7.5. Кнопка для экспорта таблицы в список </p><p>В появившемся окне (рис. 7.6) указываем адрес сайта, на который нужно опубликовать список, имя и описание. Если создать неизменяемое подключение к новому списку, то книга будет связана со списком (как и в первом случае, связь односторонняя), в противном случае - связи между книгой и списком не будет. Кликаем на <em>Далее</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image5.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb5.png?w=448&amp;h=320 alt=image width=448 height=320 title=image/></a></p><p>Рис. 7.6. Первый шаг экспорта таблицы в список SharePoint </p><p>На втором шаге осуществляется проверка типов данных (рис. 7.7). При этом стоит учесть, что формулы будут удалены и вместо них будет подставлено вычисленное значение соответствующего типа. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image6.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb6.png?w=448&amp;h=320 alt=image width=448 height=320 title=image/></a></p><p>Рис. 7.7. Второй шаг экспорта таблицы в список SharePoint </p><p>Кликаем на <em>Готово</em>, и список опубликован, о чем оповестит окно со ссылкой на список. </p><p>Особенность данного подхода заключается в том, что представление списка - таблица данных (рис. 7.8). В правой части можно обнаружить панель со ссылками на полезные команды. Безусловно, при желании можно изменить представление. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image7.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb7.png?w=628&amp;h=135 alt=image width=95% title=image/></a></p><p>Рис. 7.8. Внешний вид списка с экспортированной электронной таблицей</p><h2>Экспорт списка/библиотеки в Excel</h2><br /><p>При необходимости можно экспортировать список/библиотеку в Excel. При этом нужно учитывать, что экспортируется только текущее представление. </p><p>Для экспорта списка воспользуемся лентой (рис. 7.9). Кликаем на <em>Экспорт в </em><em>Excel</em>, и откроем появившийся файл owssvr.iqy, который представляет собой файл подключения. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image8.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb8.png?w=628&amp;h=93 alt=image width=95% title=image/></a></p><p>Рис. 7.9. Кнопка на ленте для экспорта списка в Excel </p><p>В Excel появляется извещение системы безопасности (рис. 7.10). Так как мы уверены в надежности источника файла, то кликаем на <em>Включить</em>. Далее будет предложено авторизоваться, вводим туда учетные данные, используемые для входа на портал SharePoint 2010. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image9.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb9.png?w=462&amp;h=198 alt=image width=462 height=198 title=image/></a></p><p>Рис. 7.10. Извещение системы безопасности Microsoft Excel </p><p>В книгу загрузятся данные активного представления списка в виде таблицы. Интересно, что в этом случае нельзя добавлять данные в список путем добавления их в файл, можно лишь получать содержимое списка. Обновлять данные можно вручную с помощью кнопки <em>Обновить</em>. Также можно настроить автоматическое обновление, кликнув на <em>Свойства</em>, в появившемся окне можно изменить интересующие параметры. Свойства обновления указываются непосредственно в свойствах подключения, куда можно попав, кликнув по соответствующей кнопке (рис. 7.11). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/08/image10.png><img src=http://dplotnikov.files.wordpress.com/2011/08/image_thumb10.png?w=628&amp;h=315 alt=image width=95% title=image/></a></p><p>Рис. 7.11. Свойства подключения к списку </p><p>Данные вид экспорта удобно использовать для подготовки печатных отчетов. </p> http://www.microsoft.com/rus/business/smb/blog/103/ Microsoft for Business <p>В целях расширения возможностей решений для малого и среднего бизнеса, предоставляемых Windows Small Business Server 2011 корпорацией Microsoft был разработан Small Business Server 2011 Premium Add-on, представляющий собой гибкое и экономичное решение для развертывания дополнительных серверов в сети под управлением SBS 2011. Он фактически является платформой для запуска бизнес-приложений (LOB), на основе ролей серверов (например, дополнительные контроллеры домена), виртуальных машин, которые запускаются в среде Hyper-V и системы управления базами данных Microsoft SQL Server. А также дает возможность получить доступ ко второй платформе приложений, когда это нужно, но требует минимальных ИТ-ресурсов.</p><p><img src=../../imgs/blogs/102/img001.png alt= width=95% /></p><p>Разработанный в качестве дополнительного компонента для серверов Windows Small Business Server 2011, Small Business Server 2011 Premium Add-on включает в себя дополнительную лицензию Windows Server 2008 R2 Standard, позволяющую использовать еще один сервер Windows Server 2008 R2 в сети Windows SBS, который обеспечивает расширение существующих технологий и добавление новых возможностей для малых предприятий и организаций, в целях повышения надежности и гибкости их серверной инфраструктуры. Он позволяет предоставить новые средства виртуализации, веб-ресурсы, улучшенное управление и полную интеграцию с Windows 7, давая возможность помочь сэкономить время и снизить издержки, что делает его идеальным для предприятий, имеющих ограниченные ресурсы, которым нужно запускать большое количество приложений.</p><p>Благодаря доступной в Premium Add-on виртуализации Hyper-V появляется возможность для оптимизации инвестиций в аппаратное обеспечение сервера, путем объединения нескольких ролей сервера как отдельных виртуальных машин, запущенных на одном физическом компьютере. А возможность использования службы удаленных рабочих столов позволяет применять широкий набор клиентских устройств. При этом все пользовательские приложения будут выполняться на сервере, но будут выглядеть и вести себя как локальные программы.</p><p>Кроме того Small Business Server 2011 Premium Add-on является прекрасным способом для реализации дополнительного контроллера домена, обеспечивая избыточность и защиту данных от сбоев, на основе ролей. А если у организации есть филиалы или удаленные узлы его можно использовать для улучшения времени отклика приложений и уменьшения интернет трафика. Использование функции BranchCache, имеющейся в Windows 7 и платформе Windows Server 2008,- позволяет кэшировать содержимое файлов и веб-серверов на локальных компьютерах. Либо в распределенном, на коллегиально использующих его клиентских компьютерах виде, или в виде централизованно размещаемого на сервере ресурса. Кроме того, можно использовать различные технологии, предназначенные для филиалов, такие как контроллеры домена только для чтения, чтобы обеспечить доступ к файлам и данным и более высокой отказоустойчивости для связи между сайтами </p><p>SQL Server 2008 R2 для малого бизнеса, также включенный в состав Small Business Server 2011 Premium Add-on, содержит ряд функций, которые могут помочь предприятиям максимизировать ценность информации, предоставить возможности развития бизнес-аналитики, управляемости и повышения надежности хранения данных. SQL Server 2008 R2 для малого бизнеса имеет точно такие же возможности, как SQL Server 2008 R2 Standard, однако доступен только для использования в среде SBS. Он отлично подходит для запуска приложений, требующих централизованной базы данных. Например, для бухгалтерского учета и бизнес-планирования, что позволит эффективнее использовать данные и работать более продуктивно. </p><p>Таким образом, Small Business Server 2011 Premium Add-on может использоваться различными способами, в зависимости от конкретных потребностей организации. Его основными преимуществами являются:</p><ul><li>Способность запускать большое количество бизнес приложений на дополнительном сервере </li><li>Способность принимать более обоснованные бизнес-решения благодаря богатым возможностям технологий анализа и отчетности </li><li>Доступ к полной технологии ОС Windows Server 2008 R2 Standard </li><li>Экономичность решения для среды малого предприятия </li></ul> http://www.microsoft.com/rus/business/smb/blog/102/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущей статье упоминалось о том, что после установки многих программных продуктов, желательно еще проверить настройки самих программ и конфигурировать установленное программное обеспечение под нужды ваших пользователей. На примере был подробно рассмотрен процесс настройки нескольких параметров программы Adobe Reader при помощи элемента предпочтения <strong>Реестр</strong> предпочтений групповой политики с нацеленностью на подразделение, в котором расположена учётная запись пользователя. Но, несмотря на оптимальные настройки административных шаблонов, параметров безопасности и настройки параметров реестра установленного программного обеспечения, по меньшей мере, у каждого второго пользователя есть привычка хранить на рабочем столе все ярлыки установленных программ, документов, с которыми они работают даже раз в квартал и так далее. Но ведь если подумать, для чего вашим пользователям нужен ярлык Adobe Reader на рабочем столе? Они ведь никогда не будут для начала открывать сам Reader, а потом уже искать PDF-документ, который им нужно почитать. Ходить возле каждого пользователя и следить за ярлыками, установленными на рабочем столе бессмысленно, а подходить к пользователю для поиска нужного документа на рабочем столе перед сдачей отчетов просто пустая трата времени. Используя функционал предпочтений групповой политики, вы можете гибко управлять ярлыками ваших пользователей. Например, вы можете удалить ярлыки Adobe Reader тем пользователям, для которых была произведена установка и настройка этого приложения, а также можете автоматизировать создание на рабочем столе ярлыков к документам, предназначенным для сдачи определенных отчетов в определенные дни месяца или даже года. Именно для этих целей и предназначен элемент предпочтения <strong>Ярлыки</strong> предпочтений групповой политики. За это расширение клиентской стороны отвечает динамическая библиотека gpprefcl.dll, а также связан идентификатор GUID {C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}, расположенный на вашем контроллере домена. Как и с большинством элементов предпочтения конфигурации Windows, к расширению CSE <strong>Ярлыки</strong> вы можете получить доступ как из узла <strong>Конфигурация компьютера</strong>, так и из узла <strong>Конфигурация пользователя</strong>.</p><h2>Узел предпочтений групповой политики Ярлыки</h2><br><p>Элемент предпочтения <strong>Ярлыки</strong> предпочтений групповой политики также примечателен тем, что помимо возможности создания ярлыков рабочего стола, данное расширение CSE также позволяет вам создавать, изменять, а также удалять ярлыки к таким объектам файловой системы, как папки, файлы, диски, компьютеры, а также общие сетевые ресурсы, URL-адресам, а также к таким объектам оболочки, как принтеры, компоненты панели управления и элементы рабочего стола. В этой статье будут рассмотрены четыре простых сценария с данным элементом предпочтения. Прежде всего, будет удален ярлык Adobe Reader для сотрудников отдела <strong>Тестирование</strong>, то есть для тех же пользователей, для которых настраивалась данная программа в предыдущей статье. После этого 14-го числа каждого квартала будет создаваться на рабочем столе документ, с которыми должны работать сотрудники подразделения <strong>Бухгалтерия</strong>. Далее будет создан ярлык для открытия переменных сред на рабочем столе и в меню <strong>Пуск</strong> для сотрудников группы <strong>Отладчики</strong>. И в последнем сценарии будет создана ссылка на корпоративный сайт для всех пользователей подразделения верхнего уровня <strong>Маркетинг</strong> с определенным диапазоном MAC-адресов. Также, для того чтобы создание всех ярлыков было более интересным, все четыре примера будут созданы в одном элементе групповой политики, который будет привязан к подразделению, содержащему все пользовательские учетные данные, в моем случае, это подразделение <strong>Пользователи</strong>. Итак, для того чтобы реализовать указанные выше сценарии, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего перейдите к узлу <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект групповой политики <strong>Управление ярлыками пользователей</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В отобразившейся оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Ярлыки</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>, а затем команду <strong>Ярлык</strong>. Процесс создания элемента предпочтения ярлыка можно увидеть ниже:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-02.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-02_mini_oszone.jpg alt=* width=480 height=341/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание элемента предпочтения групповой политики Ярлык</strong></p><li>Впервые из всех ранее рассматриваемых в моих статьях диалоговых окнах свойств элементов предпочтений, диалоговое окно свойств элемента предпочтений ярлыков существенно отличается от всех предыдущих элементов. Разумеется, здесь также есть четыре уже известных для вас действия, позволяющих создавать новые ярлыки для ваших пользователей или компьютеров, удалять их с повторным созданием (действие <strong>Заменить</strong>), обновлять параметры ярлыков, которые указаны в соответствующих параметрах элемента предпочтения, а также удалять ненужные ярлыки. Наряду со стандартным действием, вы можете найти целых 11 параметров, которые позволяют создавать, а также управлять ярлыками:</li><ul><li><strong>Имя</strong>. Данное текстовое поле позволяет вам указать имя создаваемого вами ярлыка;</li><li><strong>Тип объекта</strong>. Из этого раскрывающегося списка вы можете выбрать тип объекта, на который будет указывать создаваемый или изменяемый вами ярлык. Ранее в этой статье уже были приведены доступные типы ярлыков. Выбрав <strong>Объект файловой системы</strong> вы можете указать путь к любому файлу, папке, общедоступному сетевому ресурсу, диску или компьютеру. Указав в качестве типа объекта <strong>URL-адрес</strong> вам предоставляется возможность выбора веб-страницы. А если вы остановитесь на типе <strong>Объект оболочки</strong>, то в качестве целевого объекта можете выбрать любой элемент рабочего стола, панели управления, а также любые файлы, папки, принтеры, общедоступные сетевые ресурсы и прочее. Но стоит обратить внимание, что при выборе таких типов как <strong>URL-адрес</strong> или <strong>Объект оболочки</strong>, вы не сможете изменять значения полей <strong>Аргументы</strong> и <strong>Рабочая папка</strong>;</li><li><strong>Размещение</strong>. Раскрывающийся список <strong>Размещение</strong> позволяет вам выбрать для создаваемого вами ярлыка на клиентских компьютерах конечное физическое расположение. Для выбора доступны 15 расположений, причем пять из них предназначены для отображения ярлыка для всех пользователей на текущем компьютере. Помимо этого, вы можете создавать ярлыки в подпапках доступных из списка расположений. То есть, если вы укажите в поле имя наименование папки и имени ярлыка, например, <strong>Финансовые отчеты\Результаты операционной деятельности.docx</strong> и выберите размещение <strong>Главное меню</strong>, то ярлык на документ будет располагаться в подпапке главного меню профиля пользователя;</li><li><strong>Конечный путь</strong>. Это текстовое поле доступно лишь в том случае, если значением параметра <strong>Тип объекта</strong> будет указано <strong>Объект файловой системы</strong>. В этом текстовом поле вам следует указать UNC-путь, букву диска или локальный путь для создаваемого вами ярлыка;</li><li><strong>Целевой URL</strong>. Параметр указания целевого веб-адреса может быть доступен только в том случае, когда вы укажите в качестве типа объекта значение <strong>URL-адрес</strong>. Значением текущего текстового поля должен выступать веб-адрес, ссылка на веб- или FTP-сайт;</li><li><strong>Целевой объект</strong>. Вам предоставляется возможность доступа к текущему текстовому полю только в том случае, если значением параметра <strong>Тип объекта</strong> выступало <strong>Объект оболочки</strong>. Здесь, используя диалоговое окно <strong>Выбор объекта</strong>, вы можете указать доступные для выбранного параметра объекты;</li><li><strong>Аргументы</strong>. Для того чтобы запустить необходимое вам диалоговое окно системного приложения или, например, запустить определенное программное обеспечение в режиме отладки, принято добавлять к ярлыку определенные аргументы. При помощи текущего текстового поля вы можете указать необходимые аргументы, которые будут использоваться при открытии созданного вами ярлыка. Стоит обратить внимание на то, что аргументы можно добавлять только в том случае, если выбран тип объекта <strong>Объект файловой системы</strong>;</li><li><strong>Рабочая папка</strong>. Используя данное текстовое поле, вы можете выбрать папку с файлами для запуска требуемого объекта, причем, не следует использовать ни кавычки, ни косую черту после наименование папки, если ваш объект является папкой. Другими словами, указывайте такую же рабочую папку, как и в обычных ярлыках;</li><li><strong>Быстрый вызов</strong>. Команда Быстрый вызов, скорее всего, вам должна быть известна, так как она отвечает за сочетание клавиш для запуска приложения, указанного в ярлыке. Для того чтобы добавить сочетание любой клавиши в комбинации с <strong>Ctrl+Alt</strong>, просто нажмите на любую клавишу, а если хотите удалить выбранное вами сочетание, нажмите на кнопку <strong>Delete</strong>;</li><li><strong>Выполнение</strong>. Раскрывающийся список <strong>Выполнение</strong> предназначен для определения размера окна, в котором будет открываться объект, указанный в создаваемом вами ярлыке. Для выбора доступны такие же значения, как и для параметра <strong>Окно</strong> свойств ярлыка, а именно: <strong>Обычный размер окна</strong>, <strong>Свернутое в значок</strong>, а также <strong>Развернутое во весь экран</strong>;</li><li><strong>Комментарий</strong>. Вы также можете добавить комментарий, который будет отображаться при наведении мыши на ярлык. Для того чтобы пользователи могли увидеть такую подсказку, введите какой-либо текст в соответствующем текстовом поле;</li><li><strong>Путь к файлу значка</strong>. Очень часто бывают такие ситуации, когда значок, который подставляет операционная система к созданному вами ярлыку, может не соответствовать открывающемуся приложению. Для того чтобы указать свой значок к созданному вами ярлыку, перейдите к диалоговому окну <strong>Смена значка</strong> и выберите требуемый значок;</li><li><strong>Индекс значка</strong>. Этот последний параметр вкладки <strong>Общие</strong> диалогового окна свойств элемента предпочтения <strong>Ярлык</strong> может быть доступен лишь в том случае, если вы указали какое-то значение в предыдущем текстовом поле. При помощи значения этого параметра вы можете указать индекс значка, то есть указать порядковый номер картинки в выбранной вами динамической библиотеке.</li></ul><p>Теперь, когда все параметры вкладки <strong>Общие</strong> подробно рассмотрены, можно перейти к выполнению указанных ранее сценариев. В первом элементе предпочтения нам предстоит удалить ярлык программы Adobe Reader для сотрудников подразделения <strong>Тестирование</strong>. Для этого в созданном заранее объекте GPO создайте элемент предпочтения <strong>Ярлык</strong>, где следует выбрать следующие параметры:</p><ul><li>Действие - <strong>Удалить</strong>;</li><li>Имя - <strong>Adobe Reader 9</strong>;</li><li>Тип объекта - <strong>Объект файловой системы</strong>;</li><li>Размещение - <strong>Рабочий стол</strong>.</li></ul><p>В конечном результате, вкладка <strong>Общие</strong> текущего элемента предпочтения должна выглядеть следующим образом:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-03.jpg alt=* width=404 height=448/></p><p><strong>Рис. 2. Вкладка Общие первого элемента предпочтения</strong></p><p>Так как необходимо удалить ярлыки для программы только для пользователей из подразделения <strong>Тестирование</strong>, для текущего элемента предпочтения следует задать нацеливание на уровень элемента. Предположим, что все-таки в подразделении тестировщиков есть такие индивидуумы, которые предпочитают хранить ярлык программы Adobe Reader на своем рабочем столе. Другими словами, если после первого удаления ярлыка, пользователь снова вынесет ярлык Reader-а на свой рабочий стол, а через некоторое время этот ярлык снова пропадет, пользователю будет не сильно приятно. Поэтому, перейдя на вкладку <strong>Общие параметры</strong> оставьте установленный по умолчанию флажок <strong>Выполнять в контексте безопасности вошедшего пользователя</strong>, а также установите флажок на опции <strong>Применять один раз и не применять повторно</strong>. После этого установите флажок на опции <strong>Нацеливание на уровень элемента</strong> и перейдите к редактору нацеливания. В диалоговом окне редактора нацеливания, из раскрывающегося списка <strong>Создать элемент</strong> выберите элемент <strong>Подразделение</strong>. Для этого элемента, в текстовом поле <strong>Подразделение</strong> укажите название подразделения, членом которого должны являться пользователи, в данном случае, полным именем подразделения тестирования будет OU=Тестирование,OU=Разработка,OU=Пользователи,DC=BIOPHARMACEUTIC,DC=COM. Для того чтобы ограничения данного элемента предпочтения не распространялись на дочерние подразделения, в случае их существования, также установите флажок <strong>Только непосредственный член</strong>. Настроенное окно редактора нацеливания для первого элемента предпочтения можно увидеть на следующей иллюстрации:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-04.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-04_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Диалоговое окно редактора нацеливания для первого элемента предпочтения</strong></p><li>Вторым элементом предпочтения должен быть ярлык, который будет создаваться 14-го числа в каждом квартале на рабочем столе пользователей подразделения <strong>Бухгалтерия</strong>. Для того чтобы такие ярлыки не висели круглый год на рабочем столе ваших бухгалтеров, вы можете создать дополнительный элемент предпочтения ярлыков, который будет удалять текущий ярлык, скажем, 24-го числа. Итак, создайте новый элемент предпочтения ярлыка, где в раскрывающемся списке выберите команду <strong>Создать</strong>. В текстовом поле <strong>Имя</strong> укажите имя будущего ярлыка, например, <strong>Результаты операционной деятельности</strong>. Так как объектом будет документ, расположенный на общедоступном сетевом ресурсе, значение параметра <strong>Тип объекта</strong> можно оставить установленное по умолчанию, то есть <strong>Объект файловой системы</strong>. Из раскрывающегося списка размещений выберите значение <strong>Рабочий стол</strong>. В текстовом поле <strong>Конечный путь</strong> укажите путь к файлу, расположенному на сетевом ресурсе, например, <strong>\\Server04\Бухгалтерия\Результаты операционной деятельности.docx</strong>, а в случае, если вы не помните точное расположение, воспользуйтесь диалогом <strong>Выбор объекта</strong>. В данном случае, в качестве рабочей папки не следует ничего указывать. Так как нужно только открыть документ на общедоступном ресурсе, текстовое поле <strong>Аргумент</strong> также следует оставить без изменений. Из раскрывающегося списка <strong>Выполнение</strong>, выберите команду <strong>Развернутое на весь экран</strong>, так как документ, открывшийся в оконном режиме, может немного сбить с толку ваших сотрудников. Я сомневаюсь, что бухгалтера будут для открытия документа использовать какие-либо комбинации клавиш, а также что они будут читать ваши комментарии к созданному ярлыку, поэтому соответствующие текстовые поля можно оставить без изменений. По завершению создания элемента предпочтения ярлыка, вкладка <strong>Общие</strong> будет выглядеть следующим образом:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-05.jpg alt=* width=404 height=448/></p><p><strong>Рис. 4. Вкладка Общие второго элемента предпочтения</strong></p><p>Теперь нужно настроить нацеливание на уровень элемента. Как уже было сказано ранее, этот элемент предпочтения должен создаваться только для пользователей, учетные записи которых расположены в подразделении <strong>Бухгалтерия</strong> 14-го числа первого месяца каждого квартала. Для этого на вкладке <strong>Общие параметры</strong> установите флажок на опции <strong>Нацеливание на уровень элемента</strong> и перейдите к диалоговому окну редактора нацеливания. Создайте первый элемент нацеливания на подразделение <strong>Бухгалтерия</strong> по аналогии с элементом нацеливания, который создавался на предыдущем шаге. К сожалению, функционал нацеливания на уровень элемента не позволяет добавлять один элемент нацеливания, в котором можно было бы указать 4 различных даты. Поэтому я предлагаю добавить коллекцию, а затем внутри этой коллекции добавить четыре элемента нацеливания <strong>Сопоставление дат</strong>, где уже можно указать четыре разных даты. Результат создания таких элементов нацеливания можно увидеть на следующей иллюстрации:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-06.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-06_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Диалоговое окно редактора нацеливания для второго элемента предпочтения</strong></p><p>Думаю, процесс удаления этого ярлыка (то есть, создание нового элемента предпочтения) рассматривать не стоит.</p><li>Создадим третий элемент предпочтения. На этом этапе будет создан ярлык для открытия переменных сред на рабочем столе и в меню <strong>Пуск</strong> для сотрудников группы <strong>Отладчики</strong>. Сначала нужно узнать, какой файл отвечает за открытие диалогового окна переменных сред. Команда, отвечающая за открытие этого диалогового окна следующая: <strong><em>C:\Windows\system32\rundll32.exe sysdm.cpl,EditEnvironmentVariables</em></strong>.</li><p>Создайте новый элемент предпочтения <strong>Ярлык</strong>. Из раскрывающегося списка <strong>Действие</strong>, выберите действие <strong>Создать</strong>. В текстовом поле <strong>Имя</strong> введите <strong>Переменные среды</strong>. Поле <strong>Тип объекта</strong> можно оставить без изменений, а из списка размещений выберите <strong>Рабочий стол</strong>. В качестве конечного пути укажите команду, предназначенную для открытия диалогового окна переменных сред. В текстовом поле Рабочая папка введите <strong>C:\Windows\system32</strong>. Чтобы вашим отладчикам было удобнее работать, укажите комбинацию клавиш, по нажатию на которую для отладчиков будет открываться окно переменных сред, например, <strong>Ctrl+Alt+E</strong>. Добавим значок к создаваемому ярлыку. Для этого в текстовом поле <strong>Путь к файлу значка</strong> укажите расположение к файлу со значками, а именно <strong>C:\Windows\System32\imageres.dll</strong> и введите какой-то индекс значка, например, <strong>28</strong>. Содержимое вкладки <strong>Общие</strong> диалогового окна элемента предпочтения должно получиться следующее:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-07.jpg alt=* width=404 height=448/></p><p><strong>Рис. 6. Вкладка Общие третьего элемента предпочтения</strong></p><p>Для этого ярлыка тоже нужно указать параметры нацеливания. В этом случае будет создан простейший элемент нацеливания. В списке элементов выберите <strong>Группа безопасности</strong> и укажите группу <strong>Отладчики</strong>, как показано на следующей иллюстрации:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-08.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-08_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Диалоговое окно редактора нацеливания для третьего элемента предпочтения</strong></p><p>Поскольку для отладчиков еще нужно создать ярлык в меню <strong>Пуск</strong>, следует добавить еще один элемент предпочтения с идентичными настройками, за исключением текстового поля <strong>Размещение</strong>.</p><li>В последнем элементе предпочтения будет создана ссылка на корпоративный сайт для всех пользователей подразделения верхнего уровня <strong>Маркетинг</strong> с определенным диапазоном MAC-адресов. Для этого создайте пятый элемент предпочтения. Выберите опцию <strong>Создать</strong> из раскрывающегося списка <strong>Действие</strong>. В текстовом поле <strong>Имя</strong> введите <strong>Корп. сайт Biopharmaceutic</strong> и укажите тип объекта <strong>URL-адрес</strong>. Установите размещение <strong>Рабочий стол</strong> и укажите целевой адрес веб-сайта компании, например, http://corp.biopharmaceutic.com. При желании можете указать адрес к иконке сайта в текстовом поле <strong>Путь к файлу значка</strong>. Вкладка <strong>Общие</strong> для последнего элемента предпочтения будет выглядеть так, как показано на следующей иллюстрации:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-09.jpg alt=* width=404 height=448/></p><p><strong>Рис. 8. Вкладка Общие пятого элемента предпочтения</strong></p><p>Теперь нужно создать нацеливание на уровень элемента. В редакторе нацеливания добавьте элемент <strong>Подразделение</strong>, выберите необходимое подразделение и не устанавливайте флажок на опции <strong>Только непосредственный член</strong>, так как нужно, чтобы ярлык создавался еще и для всех учетных записей пользователей, размещенных в дочерних подразделениях. Добавьте еще один элемент нацеливания <strong>Диапазон MAC-адресов</strong>. Используя этот элемент нацеливания, ярлык будет создаваться для учетных записей пользователей только в том случае, если какой-либо из MAC-адресов обрабатывающего компьютера находится в диапазоне, указанном в элементе нацеленности. Укажите диапазон МАС-адресов, например с 00-15-5D-EE-29-00 по 00-15-5D-EE-29-BC, как показано ниже:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-11.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-11_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Диалоговое окно редактора нацеливания для третьего элемента предпочтения</strong></p><li>После того как вы создали последний элемент предпочтения, следует привязать созданный объект групповой политики к такому подразделению, чтобы ярлыки создавались согласно своим элементам на уровни нацеливания. В моем случае, таким подразделением выступает подразделение <strong>Пользователи</strong>, которое является родительским подразделением в иерархии подразделений с пользовательскими учетными записями. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики с данным подразделением. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Например, выполнив вход в систему под учетной записью маркетолога Елена Калачева, учетная запись которой хранится в подразделении <strong>Маркетинг</strong>, на рабочем столе будет расположен ярлык на корпоративный сайт компании. Рабочий стол этого пользователя можно увидеть ниже:</p><p><a href=http://www.oszone.net/figs/u/72715/110721055448/gppref6-10.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110721055448/gppref6-10_mini_oszone.JPG alt=* width=480 height=362/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Рабочий стол пользователя, учетная запись которого находится в подразделении Маркетинг</strong></p><h2>Заключение</h2><br><p>В этой статье я рассказал об элементах предпочтения <strong>Ярлыки</strong> предпочтений групповой политики. Были рассмотрены четыре примера с разными сценариями применения этих элементов предпочтений. Первый элемент предпочтения позволяет удалить ярлык Adobe Reader для сотрудников отдела <strong>Тестирование</strong>. При помощи следующего элемента предпочтения, на рабочих столах сотрудников подразделения <strong>Бухгалтерия</strong>, каждого 14-го числа первого месяца квартала создавался документ. Третий элемент предпочтения позволяет создать ярлык для открытия переменных сред на рабочем столе и в меню <strong>Пуск</strong> для сотрудников группы <strong>Отладчики</strong>. А используя последний элемент предпочтения, для всех пользователей подразделения верхнего уровня <strong>Маркетинг</strong> с определенным диапазоном MAC-адресов на рабочем столе можно создать ярлык для корпоративного сайта компании. В этой статье также рассматривались четыре различных элемента нацеленности предпочтений на уровне элемента.</p> http://www.microsoft.com/rus/business/smb/blog/101/ Microsoft for Business <h2>Публикация базы данных Access в SharePoint 2010</h2><br><p>В Access 2010 появился новый шаблон базы данных - веб-база данных, поэтому для нашей задачи будем использовать его.</p><p>Создайте базу данных, которая вам нужна (я делал базу данных о книгах). При этом нужно иметь в виду, что существуют клиентские объекты и веб объекты (на иконках символ земного шара) базы данных.</p><p>Веб объекты:</p><ul><li>Создаются только в Access 2010</li><li>Большинство веб объектов имеют ограниченную функциональность в сравнении с аналогичными клиентскими объектами</li><li>Могут связываться с другими веб объектами</li><li>Не могут связываться с клиентскими объектами</li><li>Видны в браузере после публикации базы данных</li></ul><p>Клиентские объекты:</p><ul><li>Все объекты, созданные в Access 2007 и ранее</li><li>Создаются в Access 2010 для использования в клиентском приложении</li><li>Полная поддержка функциональности, включая VBA</li><li>Могут связываться с веб объектами</li></ul><p><img src=../../imgs/blogs/100/img001.jpg alt= width=95% /></p><p>Рис. 7.12. Веб-база в Access 2010 с объектами двух типов</p><p>Не забудьте задать форму, которая выводится по умолчанию при открытии базы данных (см. <a href=http://office.microsoft.com/ru-ru/access/HA010341995.aspx target=_blank>здесь</a>).</p><p>После создания базы данных нужно ее опубликовать. Кликаем на <em>Файл</em>, далее выбираем <em>Сохранить и опубликовать</em>. Остается выбрать <em>Опубликовать в </em><em>Access </em><em>Services</em> (рис. 7.13). Не лишним будет проверить совместимость базы данных. Если есть какие-то проблемы, то кликните на Вопросы веб-совместимости, и исправьте ошибки. В противном случае указываем адрес сервера SharePoint 2010, и имя нового сайта, на котором будет опубликована база данных.</p><p><img src=../../imgs/blogs/100/img002.jpg alt= width=95% border=0 /></p><p>Рис. 7.13. Меню публикации базы данных в Access Services</p><p>После успешной публикации появится следующее окно (рис. 7.14)</p><p><img src=../../imgs/blogs/100/img003.png alt= width=95% border=0 /></p><p>Рис. 7.14. Окно успешной публикации базы данных Access</p><p>На созданном сайте по умолчанию открывается указанная в настройках форма, в противном случае будет отображаться страница параметров.</p><p>Внешний вид формы в браузере (рис. 7.15) ничем не отличается от ее внешнего вида в клиентском приложении.</p><p><img src=../../imgs/blogs/100/img004.jpg alt= width=95% border=0 /></p><p>Рис. 7.15. Внешний вид веб-формы в браузере</p><p>Стоит отметить, что в данном случае изменения, сделанные в веб-интерфейсе, отражаются в локальной копии файла, и наоборот. Публикуются все объекты базы данных, но просматривать в браузере можно лишь веб объекты.</p><h2>Экспорт содержимого базы данных в список</h2><br><p>При необходимости можно экспортировать содержимое таблицы или результат запроса в список SharePoint. Команды для экспорта можно найти на вкладке ленты <em>Внешние данные</em> в группе <em>Экспорт</em> (рис. 7.16), выделив при этом нужный объект базы данных. Далее нужно кликнуть на <em>Дополнительно</em>, а затем на <em>Список </em><em>SharePoint</em>. Также можно экспортировать объект, воспользовавшись его контекстным меню.</p><p><img src=../../imgs/blogs/100/img005.jpg alt= width=95% border=0 /></p><p>Рис. 7.16. расположение кнопок для экспорта объектов Access в список SharePoint</p><p>В появившемся окне экспорта (рис. 7.17) нужно указать адрес сайта SharePoint , имя нового списка, при желании можно также указать описание, значение параметра <em>Открыть список по окончании экспорта</em> можно оставить по умолчанию. Кликаем на <em>ОК</em>.</p><p><img src=../../imgs/blogs/100/img006.jpg alt= width=95% border=0 /></p><p>Рис. 7.17. Окно экспорта данных в список SharePoint</p><p>Список с экспортированными данными по умолчанию имеет представление <em>Таблица данных</em>. После успешного экспорта появляется окно сохранения шагов экспорта (рис. 7.18), также при желании можно создать задачу в Outlook, если нужно выполнять операцию регулярно.</p><p><img src=../../imgs/blogs/100/img007.jpg alt= width=95% border=0 /></p><p>Рис. 7.18. Окно сохранения шагов экспорта</p><p>Заметим, что в случае экспорта созданный нами список и таблица базы данных не связаны.</p><h2>Импорт списка в базу данных Access</h2><br><p>Следующий момент интеграции - импорт списка SharePoint в базу данных Access, команды можно найти на ленте (рис. 7.19).</p><p><img src=../../imgs/blogs/100/img008.png alt= width=95% border=0 /></p><p>Рис. 7.19. Команды для импорта списка в базу данных</p><p>После клика на соответствующую кнопку появляется окно (рис. 7.20), в котором указывается адрес сайта SharePoint, а также способ импорта. Главное отличие между способами - в первом случае таблица и список не связаны (при изменении таблицы изменения не отражаются в списке, и наоборот), а во втором - связаны. Кликаем на <em>Далее</em>.</p><p><img src=../../imgs/blogs/100/img009.jpg alt= width=95% border=0 /></p><p>Рис. 7.20. Окно импорта списка в таблицу базы данных</p><p>Открывается окно со всеми доступными списками указанного сайта (рис. 7.21), где выбираются нужные для экспорта списки. После выбора кликаем на <em>ОК</em>, после чего появляется окно сохранения шагов импорта.</p><p><img src=../../imgs/blogs/100/img010.jpg alt= width=95% border=0 /></p><p>Рис. 7.21. Окно выбора списков для экспорта в базу данных</p><p>В результате проделанных действий в базе данных появляется таблица на основе списка SharePoint.</p><h2>Перемещение таблиц на сайт SharePoint</h2><br><p>И, наконец, еще один момент интеграции - перемещение таблиц на сайт SharePoint и создание связей между этими таблицами и базой данных. На вкладке ленты <em>Работа с базами данных</em> в группе <em>Перемещение данных</em> можно найти нужную нам команду (рис. 7.22).</p><p><img src=../../imgs/blogs/100/img011.jpg alt= width=95% border=0 /></p><p>Рис. 7.22. Кнопка на ленте для перемещения таблиц на сайт SharePoint</p><p>После клика на кнопку появляется окно экспорта таблиц в SharePoint (рис. 7.23). Указываем адрес сайта SharePoint и кликаем на <em>Далее</em>, после чего будет предложено авторизоваться.</p><p><img src=../../imgs/blogs/100/img012.png alt= width=95% border=0 /></p><p>Рис. 7.23. Мастер экспорта таблиц в SharePoint</p><p>После авторизации начинается процесс экспорта таблиц и связывания таблиц с соответствующими списками. По завершении можно посмотреть подробности, где будут указаны названия созданных списков, и расположение локальной резервной копии базы данных Access</p><p><img src=../../imgs/blogs/100/img013.png alt= width=95% border=0 /></p><p>Рис. 7.24. Окно завершения экспорта таблиц в SharePoint</p><p>Кликаем на <em>Готово</em>. Все таблицы автоматически стают связанными.</p> http://www.microsoft.com/rus/business/smb/blog/100/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 4 - 1</p><p align=center><iframe width=560 height=315 src=http://www.youtube.com/embed/L45ivkuf6VU frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/99/ Microsoft for Business <h2>Введение</h2><br><p>Как я уже много раз говорил в своих статьях, групповые политики позволяют снизить стоимость управления компьютерными системами, а также обеспечить пользователей и компьютеры вашей организации оптимальными настройками. Групповые политики могут полностью удовлетворить как потребности ваших пользователей в плане настройки рабочих мест, так и любые параметры безопасности, обеспечивающие стабильную и защищённую структуру вашей организации. При помощи данной технологии вы можете управлять пользовательскими настройками, сложностью паролей пользовательских учетных записей, настраивать параметры безопасности, управлять состоянием системных служб и отображением разделов системного реестра, настраивать брандмауэр Windows в режиме повышенной безопасности, устанавливать программное обеспечение. Разумеется, этот список не является окончательным и можно еще долго рассматривать возможности, которые предоставляют групповые политики. Некоторые такие возможности я уже рассматривал в своих статьях, а остальные еще будут рассмотрены. Но, разумеется, в операционной системе, а тем более в программном обеспечении сторонних производителей, можно найти различные параметры, для которых не существует параметров политики, расположенных в оснастке <strong>Редактор управления групповыми политиками</strong>.</p><p>К счастью, как для большинства настроек операционной системы Windows, так и для настройки большей части программного обеспечения сторонних производителей, изменения заносятся в системный реестр Windows. А, как вы, скорее всего, знаете, реестром Windows является иерархическая база данных, которая хранит конфигурационную информацию операционной системы, приложений, а также информации о пользователях и оборудовании, где для удобства использования структура данных предоставлена в древовидном формате. Соответственно, есть большая вероятность того, что установив или сняв, скажем, флажок в диалоговых окнах настроек того или иного программного обеспечения, это изменение будет сохранено в реестре на пользовательском компьютере.</p><p>Для того чтобы не настраивать программные продукты на пользовательских компьютерах в ручном режиме, вы можете воспользоваться несколькими методами:</p><ul><li>Создать reg-файлы и запустить их на выполнение на каждом пользовательском компьютере. Это можно сделать, написав пакетный файл и распространив его средствами GPO (<strong>Конфигурация компьютера</strong> или <strong>пользователя\Политики\Конфигурация Windows\Сценарии</strong>);</li><li>Создать образ операционной системы с установленным софтом и измененными параметрами системного реестра, а потом распространить этот образ на пользовательские компьютеры при помощи роли Windows Server <strong>Службы развертывания Windows</strong> или используя продукт <strong><a href=http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx target=_blank title=Узнайте больше о System Center Configuration Manager>System Center Configuration Manager</a></strong>;</li><li>Написать новый административный шаблон, а затем, используя оснастку <strong>Редактор управления групповыми политиками</strong> обеспечить ваших пользователей эксклюзивными настройками;</li><li>Создать объект групповой политики с настроенными элементами предпочтения <strong>Реестр</strong> предпочтений групповой политики.</li></ul><p>Элемент предпочтения групповой политики <strong>Реестр</strong> предоставляет вам возможность гибко управлять настройкой реестра. В предыдущих статьях я уже рассмотрел четыре различных элемента предпочтений групповой политики, предназначенных для настройки переменных сред, файлов, папок, а также сопоставления дисков. В отличие от предыдущих элементов предпочтений, с параметрами настройки реестра связана динамическая библиотека <strong>userenv.dll</strong> и GUID {35378EAC-683F-11D2-A89A-00C04FBBCFA2}, отвечающая за текущее расширение клиентской стороны.</p><h2>Узел предпочтений групповой политики Реестр</h2><br><p>Этот элемент предпочтений групповой политики позволяет вам управлять настройками реестра самым гибким образом. То есть, вам предоставляется возможность создания, изменения, обновления или удаления как отдельных, так и нескольких параметров реестра, разделов вместе с параметрами, а также управления коллекциями, отражающих структуру разделов системного реестра. Так как сейчас практически на каждом компьютере в организациях установлена программа Adobe Reader, в следующих примерах я покажу, как можно устанавливать настройки этой программы, используя элемент предпочтений групповой политики <strong>Реестр</strong>. В этой статье рассматривается Adobe Reader версии 9.4.5. Будут изменены несколько настроек в программе при помощи создания отдельного элемента реестра, а также с использованием мастер реестра. А чтобы разграничить разные настройки программы, будет создана структура параметров реестра, путем создания коллекций элементов. Для того чтобы настроить Adobe Reader, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего перейдите к узлу <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект групповой политики <strong>Настройка Adobe Reader</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> выберите команду <strong>Изменить</strong> из отобразившегося <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Реестр</strong>. На этом этапе следует создать несколько коллекций, которые будут содержать разные настройки программы. Для этого щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong>, а затем <strong>Элемент семейства</strong>. В дереве консоли будет создана папка с именем <strong>Коллекция</strong>. Укажите понятное имя для текущей папки, например, <strong>Общие параметры</strong> и нажмите на клавишу <strong>Enter</strong>. При необходимости вы можете создавать вложенные папки. Созданный первый элемент коллекции показан на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-02.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-02_mini_oszone.JPG alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание элемента предпочтения коллекции параметров реестра</strong></p><li>Теперь следует определить параметры, настройки которых должны применяться для ваших пользователей. Для этого вам следует открыть диалоговое окно установок программы, изучить параметры настроек и найти параметры реестра, отвечающие за текущие настройки. Вкладку <strong>Вид страницы</strong> диалога установок Adobe Reader вы можете увидеть ниже:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-03.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-03_mini_oszone.jpg alt=* width=480 height=257/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Диалоговое окно Установки Adobe Reader</strong></p><p>Например, если вам нужно на вкладке <strong>Вид страницы</strong> установить пользователям флажок на опции <strong>Плавно изменять масштаб</strong> я рекомендую воспользоваться такой утилитой, как Process Monitor, которая входит в набор системных утилит <a href=http://technet.microsoft.com/ru-ru/sysinternals/default.aspx target=_blank title=Загрузите полезные и незаменимые утилиты SysInternals>SysInternals</a> от Марка Руссиновича. О методах использования этой программы я уже говорил в одной из своих статей. После того как вы правильно настроите в Process Monitor фильтр, установите флажок на соответствующей опции в диалоговом окне <strong>Установки</strong> программы Adobe Reader и сохраните изменения. Как видно на следующей иллюстрации, за эту опцию отвечает параметр реестра bSmoothZooming, расположенный в разделе HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\AVDisplay:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-04.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-04_mini_oszone.JPG alt=* width=480 height=325/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Мониторинг изменений в реестре при изменении настроек Adobe Reader</strong></p><p>Чтобы однозначно удостовериться, что вы выбрали правильный параметр реестра, откройте <strong>Редактор реестра</strong>, перейдите в указанный ранее раздел, а затем в Adobe Reader снимите флажок с данной опции. В итоге, значение DWORD-параметра должно измениться с 1 на 0;</p><li>После того как все параметры для текущей коллекции будут определены, вам нужно начать создавать элементы предпочтений. В дереве консоли оснастки <strong>Редактор управления групповыми политиками</strong> перейдите в созданную вами ранее коллекцию, нажмите на созданной вами папке правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong> и <strong>Элемент реестра</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-05.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-05_mini_oszone.JPG alt=* width=480 height=343/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Создание элемента реестра</strong></p><p>В диалоговом окне <strong>Новые свойства реестра</strong>, на вкладке <strong>Общие</strong>, вы, как и во всех рассматриваемых ранее элементах предпочтения в текущем цикле статей, можете выбрать одно из четырех стандартных действий:</p><ul><li><strong>Создать</strong> - создание нового параметра или раздела реестра;</li><li><strong>Заменить</strong> - удаление с последующим созданием существующего параметра или раздела реестра со всеми вложенными параметрами и дочерними подразделами;</li><li><strong>Обновить</strong> - обновление определенных в элементе предпочтения параметров реестра без удаления последних;</li><li><strong>Удалить</strong> - удаление указанного параметра или раздела реестра.</li></ul><p>Следует отметить, что по умолчанию выбрано действие <strong>Обновить</strong>, которое лучше всего оставлять не тронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.</p><p>После того как вы выберите нужное действие, вам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.</p><p>В раскрывающемся списке <strong>Куст</strong>: выберите куст реестра, в котором находится параметр, подлежащий изменению. Вы можете выбрать любой из пяти доступных, и, полагаю, известных вам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе <strong>Конфигурация пользователя</strong>, в раскрывающемся списке по умолчанию будет выбран раздел <strong>HKEY_CURRENT_USER</strong> (в противном случае, был бы выбран раздел <strong>HKEY_LOCAL_MACHINE</strong>).</p><p>Текстовое поле <strong>Путь реестра</strong> позволяет вам указать раздел, содержащий требуемый параметр реестра. Следует помнить, что в данном текстовом поле вам не нужно указывать куст, а также не нужно указывать слэш перед родительским разделом, так как в противном случае раздел не будет найден. Например, в данном случае, следует указать раздел <strong>Software\Adobe\Acrobat Reader\9.0\AVDisplay</strong>.</p><p>В группе <strong>Имя параметра</strong> вы можете указать параметр, который будет подлежать изменениям. В том случае если вы изменяете параметр <strong>По умолчанию</strong> (@), установите флажок на одноименной опции. Так как в большинстве случаев не требуется менять параметр по умолчанию, вы можете самостоятельно ввести имя параметра в соответствующее текстовое поле.</p><p>Раскрывающийся список <strong>Тип параметра</strong> позволяет вам выбрать необходимый тип параметра. Несмотря на то, что в общей сложности насчитывается 15 типов данных, в большинстве случаев используются только параметры типа REG_DWORD, REG_BINARY, а также REG_SZ. Будьте внимательны при выборе типа параметра, так как в лучшем случае, при указании не правильного типа параметра ваши изменения просто не будут применены к конечным пользователям. Этот раскрывающийся список, как вы, скорее всего, уже догадались, доступен только при выборе таких действий как <strong>Создать</strong>, <strong>Изменить</strong>, а также <strong>Обновить</strong>.</p><p>Последнее текстовое поле доступное на этой вкладке, поле <strong>Значение</strong> вам позволяет указать значения для выбранного параметра системного реестра.</p><p>Все эти поля целесообразно заполнять в том случае, если на компьютере, на котором создается элемент предпочтения невозможно найти искомый параметр реестра. Если же на данном компьютере такой параметр присутствует, то вы можете создать элемент предпочтения, заполнив только поле со значением вашего параметра. Для этого вызовите диалоговое окно <strong>Браузер элементов реестра</strong> по нажатию на кнопку <strong></strong>. Выберите в этом браузере раздел реестра, содержащий искомый параметр (в данном случае, это раздел <strong>Software\Adobe\Acrobat Reader\9.0\AVDisplay</strong>). В нижней части диалогового окна будут отображены все параметры, содержащиеся в выбранном вами разделе. Выберите параметр <strong>bSmoothZooming</strong>, о котором мы говорили ранее. Несмотря на удобство данного браузера, здесь вы можете найти непонятный, полностью бесполезный, горизонтальный скролл :). Диалоговое окно браузера элементов реестра вместе с этим лишним скроллом можно увидеть ниже:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-06.jpg alt=* width=404 height=515/></p><p><strong>Рис. 5. Диалоговое окно Браузер элементов реестра</strong></p><p>После того как вы выберите требуемый параметр реестра, нажмите на кнопку <strong>Выбрать</strong>. Как видите, все поля заполнились автоматически. Теперь только укажите значение для выбранного параметра (в нашем случае, значение должно быть 00000001 в шестнадцатеричной системе исчисления) и нажмите на кнопку <strong>ОК</strong> для сохранения изменений. Так как данный объект групповой политики будет содержать несколько элементов предпочтений, разбитых на несколько коллекций, общие параметры вместе с нацеливанием на уровень элемента не нужно настраивать для каждого элемента реестра по отдельности. Будут настраиваться общие параметры только для элементов коллекций. Диалоговое окно свойств элемента предпочтения реестра отображено на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-07.jpg alt=* width=404 height=448/></p><p><strong>Рис. 6. Диалоговое окно свойств элемента предпочтения реестра</strong></p><li>Так как коллекцию элементов создавать только для одного параметра реестра бессмысленно, внесем еще изменения в три общих параметра Adobe Reader. Предположим, что изменяемыми параметрами должны быть следующие настройки:</li><table><tbody><tr><td><p><strong>Категория</strong></p></td><td><p><strong>Настройка</strong></p></td><td><p><strong>Раздел реестра</strong></p></td><td><p><strong>Параметр</strong></p></td><td><p><strong>Значение</strong></p></td></tr><tr><td><p>Основные</p></td><td><p><strong>Использовать фиксированное разрешение для снимков</strong> - 90ppi</p></td><td><p>HKEY_CURRENT_USER \Software \Adobe\Acrobat Reader\9.0\Selection</p></td><td><p>iSnapshotResolution<br/>bUseFixedSnapshot Resolution</p></td><td><p>5a<br/>1<br />&nbsp;</p></td></tr><tr><td><p>Дополнительная разметка</p></td><td><p><strong>Всегда использовать параметр Масштаб</strong> - По размеру страницы</p></td><td><p>HKEY_CURRENT_USER \Software \Adobe\Acrobat Reader\9.0\Access</p></td><td><p>bOverrideZoom<br/>iZoomScale<br/>iZoomType</p></td><td><p>1<br/>0<br/>4</p></td></tr><tr><td><p>Поиск</p></td><td><p><strong>Максимальный размер кэша</strong> - 50 МБ</p></td><td><p>HKEY_CURRENT_USER \Software \Adobe\Acrobat Reader\9.0\Search\cOptions</p></td><td><p>iCacheSize</p></td><td><p>32</p></td></tr></tbody></table><p>Так как на этом этапе будет создаваться не один, а целых 6 элементов предпочтений реестра, причем, все эти параметры реестра присутствуют на данном контроллере домена и в нескольких разделах нужно менять по два и более параметра, целесообразно воспользоваться еще одним методом создания элементов предпочтений реестра - <strong>Мастером реестра</strong>.</p><p>Для этого выберите в дереве консоли созданную ранее коллекцию, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команды <strong>Создать</strong> и <strong>Мастер реестра</strong>. На первой странице мастера следует выбрать компьютер, из которого будут извлекаться требуемые параметры. Так как эти параметры можно найти на локальном компьютере, то есть контроллере домена, установите переключатель на опцию <strong>Локальный компьютер</strong> и нажмите на кнопку <strong>Далее</strong>, как показано ниже:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-08.jpg alt=* width=480 height=368/></p><p><strong>Рис. 7. Первая страница мастера реестра</strong></p><p>На второй странице мастера вам предстоит выбрать требуемый раздел и установить флажки на тех параметрах реестра, в значения которых будут вноситься изменения. На этом этапе вы можете только выбрать параметры, то есть, изменять их значения вы будете немного позже. Стоит отметить, что если вам необходимо только создать раздел, то достаточно установить флажок на разделе реестра. Выбранные параметры реестра для первой настройки изображены на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-09.jpg alt=* width=480 height=368/></p><p><strong>Рис. 8. Выбор параметров реестра</strong></p><p>По нажатию на кнопку <strong>Готово</strong>, в вашей папке будут созданы вложенные папки, имена которых должны совпадать со всей иерархией разделов реестра. В данном примере будет достаточно одной папки коллекции, поэтому выделите элементы bUseFixedSnapshotResolution и iSnapshotResolution, а затем переместите их в папку <strong>Общие параметры</strong>, после чего можно удалить папку <strong>Значения мастера реестра</strong>. Откройте оба элемента предпочтений реестра и внесите в них нужные значения. После того как все изменения будут выполнены, папка <strong>Общие параметры</strong> должна выглядеть следующим образом:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-10.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-10_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Папка Общие параметры со всеми изменениями</strong></p><li>Следующим шагом будет нацеливание созданных ранее элементов предпочтений на уровень элемента. В связи с тем, что все семь созданных ранее элементов предпочтений были помещены в одну коллекцию, можно не настраивать нацеливание для каждого элемента по отдельности, а достаточно лишь указать уровень нацеливания коллекции реестра. Для этого выберите папку <strong>Общие параметры</strong>, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду <strong>Свойства</strong>. Откроется диалоговое окно <strong>Свойства: Общие параметры</strong>, которое уже рассматривалось несколько раз в предыдущих статьях текущего цикла.</li><p>В данном диалоговом окне установите флажок на опцию <strong>Нацеливание на уровень элемента</strong> и перейдите к диалоговому окну <strong>Редактор нацеливания</strong>. В этом примере создадим элемент нацеливания, позволяющий применять все указанные настройки только пользователям, расположенным в определенном подразделении, а именно в подразделении <strong>Тестирование</strong>, которое является дочерним подразделением для OU <strong>Разработка</strong>. Для этого выберите из раскрывающегося списка <strong>Создать элемент</strong> элемент <strong>Подразделение</strong>, где в текстовом поле Подразделение укажите название подразделения, членом которого должны являться пользователи. В этом текстовом поле вы можете указывать как неполное, так и частичное или полное имя подразделения, например, в данном случае, полным именем подразделения тестирования будет OU=Тестирование,OU=Разработка,OU=Пользователи,DC=BIOPHARMACEUTIC,DC=COM. Диалоговое окно редактора нацеливания должно выглядеть следующим образом:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-11.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-11_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Редактор нацеливания</strong></p><li>Для того чтобы удостовериться, что параметры применяются правильно, я рекомендую вам создать еще один элемент предпочтения, который не будет входить в текущую коллекцию. Например, можно создать элемент предпочтения отключающий JavaScript. Для этого создайте новый элемент предпочтения реестра для раздела HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs, параметра bEnableJS типа DWORD со значением 0 и на всякий случай, чтобы ваши пользователи могли включить JavaScript, в общих параметрах установите флажок на опцию <strong>Применить один раз и не применять повторно</strong>;</li><li>Последним шагом будет привязывание объекта GPO к подразделению <strong>Разработка</strong>. Закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики с данным подразделением. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Теперь нужно проверить настройки для двух учетных записей. Первая учетная запись пользователя Павла Куренкова должна быть размещена в подразделении <strong>Разработка</strong>, а вторая, учетная запись Олега Алекминского - в подразделении <strong>Тестирование</strong>.</p><p>Для того чтобы проверить, привязался ли новый объект групповой политики только к подразделению <strong>Тестирование</strong>, выполните вход в систему первым пользователем, учетная запись которого размещена в подразделении <strong>Разработка</strong>. Затем откройте программу Adobe Reader и в диалоговом окне установок перейдите к любой категории, в которую были внесены изменения для пользователей OU тестирования, например, к категории <strong>Поиск</strong>. Как показано на следующей иллюстрации, для этого пользователя минимальный размер кэша составляет 100 МБ, что является значением, установленным по умолчанию:</p><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-12.PNG target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-12_mini_oszone.PNG alt=* width=480 height=371/><br/>Увеличить рисунок</a></p><p><strong>Рис. 11. Минимальный размер кэша пользователя подразделения Разработка</strong></p><p>Теперь выйдите из системы и на этом же компьютере выполните вход под учетной записью Олега Алекминского, который находится в подразделении <strong>Тестирование</strong>. В Adobe Reader откройте диалоговое окно <strong>Установки</strong> и перейдите в категорию <strong>Поиск</strong>. Здесь минимальный размера кэша для программы составляет 50 МБ, следовательно, элемент предпочтения связанного с подразделением <strong>Разработка</strong> объекта групповой политики удачно применился. Это диалоговое окно можно увидеть на следующей иллюстрации:</p><p><a href=http://www.oszone.net/figs/u/72715/110706075631/gppref05-13.PNG target=_blank><img src=http://www.oszone.net/figs/u/72715/110706075631/gppref05-13_mini_oszone.PNG alt=* width=480 height=377/><br/>Увеличить рисунок</a></p><p><strong>Рис. 12. Минимальный размер кэша пользователя подразделения Тестирование</strong></p><h2>Заключение</h2><br><p>Из этой статьи вы узнали об очередном расширении клиентской стороны предпочтений групповой политики <strong>Реестр</strong>, позволяющем гибко управлять настройками операционной системы и приложений при помощи системного реестра. В приведенном в статье примере была рассмотрена часть настройки программы Adobe Reader средствами изменения значений параметров раздела HKEY_CURRENT_USER системного реестра. Также вкратце был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий распространять настройки элементов предпочтений только для пользователей, являющихся членами определенного подразделения.</p> http://www.microsoft.com/rus/business/smb/blog/98/ Microsoft for Business <p>В этой статье рассматриваются рабочие процессы в SharePoint 2010 и освещаются следующие вопросы:</p><ul><li>Что такое рабочие процессы?</li><li>Работа в браузере</li><li>Создание рабочих процессов в Visio 2010</li><li>Создание рабочих процессов в SharePoint Designer 2010</li><li>Заключение</li></ul><h2>Что такое рабочие процессы?</h2><br><p>Рабочий процесс (англ. Workflow) - последовательность действий, выполнение которых приводит к определенному результату. Процесс зависит от людей или даже систем. Например, в качестве рабочего процесса можно выступать ежемесячная рассылка отчетов о начислении заработной платы.</p><p>Использование рабочих процессов дает следующие преимущества:</p><ul><li>Прозрачность работы бизнес-процессов - позволяет руководству лучше контролировать исполнение процессов;</li><li>Экономия времени сотрудников - не нужно искать сотрудников, чтобы дать им поручение, сроки исполнения заданы;</li><li>Экономия денег компанией - уменьшение временных затрат сотрудников на выполнение некоторых внутренних задач, сокращение времени по обработке заявок на услуги и т.д.;</li><li>Сокращение числа ошибок - бизнес-процесс имеет конкретные шаги, в связи с чем пользователям не нужно заботиться о последовательности действий - это происходит автоматически.</li></ul><p>Рабочие процесс ы реализованы на основе технологии <a href=http://en.wikipedia.org/wiki/Windows_Workflow_Foundation target=_blank>Windows Workflow Foundation</a>, включенной в .NET Framework 3.5.</p><p>В SharePoint 2010 есть несколько типов встроенных рабочих процессов, которые можно использовать в своих решениях, а также создавать другие рабочие процессы на их основе. Создавать рабочие процессы можно в Visio 2010, SharePoint Designer 2010, Visual Studio 2010.</p><p>Список встроенных рабочих процессов:</p><ul><li>Планирование оповещений Web Analytics - отправка сообщений ответственным пользователям при определенных изменениях в данных аналитики;</li><li>Планирование отчетов Web Analytics - отправка определенных отчетов ответственным пользователям. Можно настроить получателей, частоту отправки и дополнительную информацию;</li><li>Сбор отзывов - предоставляет процесс сбора отзывов о документе;</li><li>Сбор подписей - предоставляет процесс сбор электронных подписей для документа;</li><li>Трехэтапный рабочий процесс - предоставляет механизм отслеживания статуса процесса - активный, готов к проверке или завершен;</li><li>Управление переводом - предоставляет механизм перевода документов путем создания копии документов и задачи для переводчиков;</li><li>Утверждение - предоставляет процесс утверждения для документов. После добавления нового документа запускается процесс утверждения, в результате которого назначенные люди утверждают или отклоняют документ для публикации;</li><li>Утверждение ликвидации - предоставляет процесс работы с документами, который позволяет сохранить или удалить документы по истечении срока их хранения.</li></ul><p>Вообще говоря, для SharePoint 2010 можно создавать рабочие процессы нескольких типов:</p><ul><li>Рабочий списка - рабочий процесс работает только с конкретным списком, при этом получает доступ к его контексту, в частности к значениям настраиваемых полей. При этом нельзя сделать процесс доступным для других списков;</li><li>Повторно используемый рабочий процесс - рабочий процесс можно сделать доступным для повторного использования с любым списком, библиотекой или типом контента в семействе веб-сайтов;</li><li>Рабочий процесс сайта - не предназначен для обработки определенного элемента списка. Например, можно создать рабочий процесс для сбора отзывов.</li></ul><h2>Работа в браузере</h2><br><p>Для того чтобы встроенными рабочими процессами можно было пользоваться в рамках семейства веб-сайтов, нужно активировать соответствующие возможности семейства веб-сайтов в параметрах сайта.</p><p>Рассмотрим создание рабочего процесса утверждения документа.</p><p>Для удобства в библиотеке (как и в списках) кнопки для управления рабочими процессами вынесены на ленту (рис. 6.1). В данном случае выбираем <em>Добавить рабочий процесс</em>, и попадаем на страницу рабочих процессов библиотеки.</p><p><img src=../../imgs/blogs/97/img001.png alt= width=95% border=0 /></p><p>Рис. 6.1. Кнопки на ленте для рабочих процессов</p><p>На появившейся странице кликаем на <em>Добавить рабочий процесс</em>, и видим следующее (рис. 6.2)</p><p><img src=../../imgs/blogs/97/img002.jpg alt= width=95% border=0 /></p><p>Рис. 6.2. Страница создания рабочего процесса для библиотеки документов</p><p>На странице заполняются следующие данные:</p><ul><li>Типа рабочего процесса - выбирается рабочий процесс из списка активированных встроенных рабочих процессов (в нашем случае выберем <em>Утверждение</em>);</li><li>Имя - вводится уникальное имя рабочего процесса;</li><li>Список задач - выбирается (или создается) список задач, в котором рабочий процесс будет создавать задачи (при необходимости);</li><li>Список журналов - выбирается (или создается) список логов об исполнении задач;</li><li>Параметры начала - указывается способ запуска рабочего процесса.</li></ul><p>После заполнения полей кликаем на<em>Далее</em>, и переходим на следующую страницу (рис. 6.3)</p><p><img src=../../imgs/blogs/97/img003.png alt= width=95% border=0 /></p><p>Рис. 6.3. Страница заполнения параметров рабочего процесса утвержения</p><p>На странице заполняются следующие данные:</p><ul><li>Утверждающие - выбирается один или несколько пользователей, на которых назначаются задачи об утверждении документов;</li><li>Сообщение - указывается текст сообщения для получателей, а также выбираются получатели копий этого сообщения (при этом на них не назначаются задачи об утверждении);</li><li>Срок исполнения - указывается длительность задачи в днях, неделях или месяцах;</li><li>Параметры завершения - выбрать, завершить процесс при отклонении хотя бы одним из утверждающих, или при любом изменении до конца утверждения.</li></ul><p>При нажатии на кнопку<em> Сохранить</em> рабочий процесс создан.</p><p>Рассмотрим ручной запуск только что созданного нами рабочего процесса (при условии, что ручной запуск разрешен), для чего в контекстном меню документа (рис. 6.4) кликнем на <em>Рабочие процессы</em>, после чего попадаем на соответствующую страницу.</p><p><img src=../../imgs/blogs/97/img004.png alt= width=279 height=266 border=0 /></p><p>Рис. 6.4. Контекстное меню документа</p><p>Выбираем процесс для запуска (в нашем случае доступен только один процесс), и по клику на него переходим на страницу с формой запуска рабочего процесса, содержащей почти все поля формы, изображенной на рис. 6.3, за исключением некоторых полей, и кликаем на <em>Запуск</em>. Остается заметить, что в случае автоматического запуска процесс заполнения формы рабочего процесса не контролируется пользователем, в него подставляются значения, указанные при его создании.</p><p>В результате запуска происходит назначение задачи указанному исполнителю, отправка сообщения ответственным пользователям, а также происходит запись в журнал рабочего процесса. После запуска рабочего процесса в библиотеке появляется новый столбец <em>Утверждение документа </em>(рис. 6.5), в котором показывается статус исполнения рабочего процесса.</p><p><img src=../../imgs/blogs/97/img005.jpg alt= width=95% border=0 /></p><p>Рис. 6.5. Новый столбец со статусом процесса</p><p>По клику на статус можно перейти на страницу рабочего процесса, содержимое которой поделено на три группы:</p><ul><li>Сведения о рабочем процессе - отображается инициатор, время запуска, состояние. Можно добавить или обновить утверждающих для процесса, обновить активные задачи, а также прервать рабочий процесс;</li><li>Задачи - показывается список задач, назначенных в ходе выполнения рабочего процесса;</li><li>Журнал рабочего процесса - отображается содержимое журнала, относящееся к выполнению рабочего процесса для просматриваемого элемента.</li></ul><p>На таком простом примере видны преимущества и недостатки работы с рабочими процессами в браузере. Рассмотрим следующий способ создания рабочих процессов, в котором пользователю предоставляется возможность создавать собственные рабочие процессы.</p><h2>Создание рабочих процессов в Visio 2010</h2><br><p>В Visio 2010 появился новый шаблон диаграммы -<em> Рабочий процесс </em><em>Microsoft</em><em>SharePoint</em>. Создадим новую диаграмму, и видим несколько групп фигур для рабочих процессов SharePoint - действия рабочего процесса, условия рабочего процесса и фигуры завершения рабочего процесса.</p><p>Рассмотрим создание рабочего процесса для уведомления читателей о новых книгах.</p><p>Начнем создание рабочего процесса с размещения фигур начала и завершения рабочего процесса (рис. 6.6).</p><p><img src=../../imgs/blogs/97/img006.png alt= width=366 height=209 border=0 /></p><p>Рис. 6.6. Фигуры завершения рабочего процесса в Visio 2010</p><p>В группе<em> Действия рабочего процесса </em><em>SharePoint </em>выберем<em> Отправить сообщение</em>, и перенесем ее на форму.</p><p><img src=../../imgs/blogs/97/img007.png alt= width=484 height=126 border=0 /></p><p>Рис. 6.7. Форма отправки сообщения читателям</p><p>Для завершения работы нужно сохранить документ Visio 2010, а затем воспользоваться кнопками на ленте для осуществления экспорта рабочего процесса (рис. 6.8) для дальнейшей работы с ним в SharePoint Designer 2010.</p><p><img src=../../imgs/blogs/97/img008.jpg alt= width=95% border=0 /></p><p>Рис. 6.8. Кнопки на ленте Visio 2010 для импорта и экспорта рабочего процесса</p><p>Заметим, что созданная нами диаграмма не содержит реализации, а представляет собой лишь логический алгоритм работы рабочего процесса.</p><h2>Создание рабочих процессов в SharePoint Designer 2010</h2><br><p>Воспользуемся схемой рабочего процесса, созданного ранее, чтобы сделать рабочий процесс. Для этого запустим SharePoint Designer 2010, и посмотрим содержимое группы <em>Рабочие процессы</em>. На ленте вынесены кнопки для импорта рабочего процесса из Visio (рис. 6.9).</p><p><img src=../../imgs/blogs/97/img009.jpg alt= width=95% border=0 /></p><p>Рис. 6.9. Кнопки на ленте SharePoint Designer 2010 для работы с рабочими процессами</p><p>По клику на Импорт из Visio появляется диалоговое окно, в котором нужно выбрать импортируемый файл. Далее нужно указать имя рабочего процесса и выбрать формат для импорта - рабочий процесс списка или рабочий процесс для повторного использования (рис. 6.10). Ранее в главе 3 мы создавали сайт школьной библиотеки, поэтому выберем <em>Рабочий процесс списка</em>, и в выпадающем списке укажем <em>Книги</em>. После чего нужно кликнуть на <em>Готово</em>.</p><p><img src=../../imgs/blogs/97/img010.png alt= width=495 height=383 border=0 /></p><p>Рис. 6.10. Окно выбора формата для импорта рабочего процесса</p><p>После создания рабочего процесса открывается редактор рабочих процессов (рис. 6.11). Отдельное внимание нужно уделить ленте, кнопки на которой поделены на следующие группы:</p><ul><li>Сохранить - функции для сохранения, публикации и проверки. Стоит отметить, что сохранение не влечет за собой публикацию;</li><li>Изменение - управление шагами и действиями рабочих процессов;</li><li>Вставка - вставка шагов, объединяющих условия и действия. Шаги нужны только для логической группировки, при этом в рабочем процессе должен быть как минимум один шаг;</li><li>Управление - кнопки для экспорта в Visio, а также просмотра и редактирования параметров рабочего процесса, например, условий запуска;</li><li>Переменные - управление локальными переменными (представляют собой внутренние переменные) и параметрами формы запуска (переменные, отображаемые на форме запуска).</li></ul><p><img src=../../imgs/blogs/97/img011.jpg alt= width=95% border=0 /></p><p>Рис. 6.11. Форма для редактирования рабочего процесса в SharePoint Designer 2010</p><p>Вообще говоря, создание рабочих процессов не ограничивается тем, что создано в результате импорта. При желании можно добавить необходимые действия, условия или шаги. Для того чтобы завершить создание рабочего процесса, кликнем по ссылке <em>Пользователи</em> в редакторе рабочих процессов. В результате чего появляется окно для указания параметров письма (рис. 6.12). Рядом с полями<em> Кому </em>и <em>Копия </em>расположена кнопка с адресной книгой, при клике на которую появляется окно выбора получателей. При этом можно отправлять сообщения отдельным пользователям или группам, а также пользователям, создавшим текущий элемент.</p><p><img src=../../imgs/blogs/97/img012.png alt= width=560 height=514 border=0 /></p><p>Рис. 6.12. Окно для указания параметров отправки сообщения</p><p>Крайняя справа кнопка в ряду с полем<em>Тема</em>нужна для того, чтобы можно было подставлять различные данные (рис. 6.13).</p><p><img src=../../imgs/blogs/97/img013.png alt= width=391 height=209 border=0 /></p><p>Рис. 6.13. Окно подстановки данных</p><p>Например, при выборе в качестве источника данных текущего элемента, можно получить данные любого из его атрибутов, и составить на их основе тему для письма. При отсутствии необходимости подстановок данных можно использовать в качестве темы простой текст. Аналогичным образом можно использовать подстановки для составления тела письма по клику на кнопку <em>Добавить или изменить подстановку</em>.</p><p>После создания и сохранения рабочего процесса можно перейти к его параметрам (рис. 6.14), которые поделены на несколько групп:</p><ul><li>Сведения о рабочем процессе - можно указать имя и описание. Поля<em> Тип </em>и<em> Связанный список</em> доступны только для чтения;</li><li>Настройка - переход в редактор рабочих процессов, просмотр связанного списка, списка задач и списка журналов;</li><li>Параметры - указывается список задач и список журналов рабочего процесса;</li><li>Параметры запуска - указываются условия запуска рабочего процесса;</li><li>Формы - отображается список форм, используемых рабочим процессом.</li></ul><p><img src=../../imgs/blogs/97/img014.jpg alt= width=95% border=0 /></p><p>Рис. 6.14. Параметры рабочего процесса в SharePoint Designer 2010</p><p>После применения параметров рабочего процесса нужно опубликовать его по клику на соответствующей кнопке на ленте.</p><p>Итак, нами был рассмотрен процесс создания рабочего процесса в SharePoint Designer 2010 на основе схемы, созданной в Visio 2010. На самом деле можно пропустить шаг составления схемы в Visio 2010, и сразу приступить к реализации рабочего процесса в дизайнере.</p><p><img src=../../imgs/blogs/97/img015.jpg alt= width=95% border=0 /></p><p>Рис. 6.15. Обзор рабочих процессов в SharePoint Designer 2010</p><h2>Заключение</h2><br><p>Итак, в этой статье мы говорили про рабочие процессы в SharePoint 2010, в том числе рассматривали инструменты для их создания.</p><p>Уже на простых примерах видна разница в возможностях различных инструментов для создания рабочих процессов. Подробные различия можно узнать в таблице <a href=http://msdn.microsoft.com/ru-ru/library/ms461944.aspx target=_blank>Сравнение средств для разработки рабочих процессов</a>.</p><p>&nbsp;</p> http://www.microsoft.com/rus/business/smb/blog/97/ Microsoft for Business <h2>Введение</h2><br><p>Сейчас практически во всех компаниях файлы ваших сотрудников не всегда размещаются непосредственно на их компьютерах. Некоторые документы должны быть общедоступными, но права на редактирование таких файлов может быть выделено только отдельным пользователям или группам пользователей, а некоторые документы в целях безопасности целесообразно хранить на файловых серверах. В связи с этим вашим пользователям приходится или постоянно подключаться к таким серверам или создавать для себя сопоставление дисков, что, скорее всего, придется делать именно вам. Если вы работаете в небольшой компании или в каком-то региональном офисе, будет не сложно подойти к двум-трем пользователям и настроить для них сопоставление дисков вручную. Но если нужно будет создать сопоставления, скажем, для семи дисков пяти подразделениям из 20 человек, то это у вас займет, по меньшей мере, несколько часов рабочего времени. А тратить несколько часов времени, которого всегда, как правило, не хватает, на выполнение простейших операций раздражает больше всего Но вы можете решить для себя эту проблему, используя функционал групповой политики, о чем, собственно, и пойдет речь в этой статье.</p><p>Из предыдущих трех статей данного цикла вы уже узнали о том, как можно легко и гибко управлять переменными средами, файлами и папками ваших пользователей. В этой статье будет подробно описан очередной элемент предпочтения групповой политики, <strong>Сопоставления дисков</strong>, за который несет ответственность та же библиотека, которая была связана с предпочтениями, рассматриваемыми ранее, а именно динамическая библиотека <strong>gpprefcl.dll</strong>. Но так как с каждым расширением клиентской стороны должен быть связан уникальный идентификатор GUID, с этим расширением CSE связан идентификатор {5794DAFD-BE60-433f-88A2-1A31939AC01F}, который вы можете без особых усилий найти на своем контроллере домена. Несмотря на то, что переменные среды, файлы и папки можно было настраивать как в конфигурации компьютера, так и в конфигурации пользователя оснастки <strong>Редактор управления групповыми политиками</strong>, работать с переменными средами можно только в узле <strong>Конфигурация пользователя</strong>.</p><h2>Узел предпочтений групповой политики Сопоставления дисков</h2><br><p>Как уже было замечено в вводной части этой статьи, элемент предпочтения групповой политики <strong>Сопоставления дисков</strong> предназначен для создания, обновления, изменения и удаления сопоставления дисков для общедоступных сетевых ресурсов. Помимо этого, используя текущий элемент предпочтения, вы также можете удалить или скрыть все диски, которые начинаются с определенной буквы, причем не только сопоставленные, но еще и физические. Для создания сопоставления дисков, вам нужно будет в оснастке <strong>Редактор управления групповыми политиками</strong> управлять элементами предпочтений, расположенными в узле <strong>Сопоставления дисков</strong> конфигурации пользователя. В следующем примере будут созданы два объекта групповой политики. В первом объекте GPO, в объекте <strong>Сопоставления диска S</strong> будут созданы динамические сопоставления для двух дисков, диска S и диска X. В объекте <strong>Изменения в сопоставлениях</strong> будет изменена буква одного диска, а также скрыт диск X для пользователей, являющихся членами группы <strong>Продажи</strong>. Для того чтобы задать настройки элементов предпочтений групповой политики, указанные в данном сценарии, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте первый объект GPO <strong>Сопоставления диска S</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Сопоставления дисков</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong> и <strong>Сопоставленный диск</strong>, что изображено на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-02.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-02_mini_oszone.JPG alt=* width=480 height=344/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание элемента предпочтения сопоставленного диска</strong></p><li>В отобразившемся диалоговом окне <strong>Новые свойства диска</strong>, на вкладке <strong>Общие</strong>, вам предоставляется уже известный графический интерфейс, о котором было написано в предыдущих трех статьях текущего цикла. Первое, что следует настроить в новом элементе предпочтения, это действие, которого вы хотите добиться от создаваемого вами элемента предпочтения, то есть:</li><ul><li><strong>Создать</strong> - создание нового сопоставленного диска для общедоступного сетевого ресурса;</li><li><strong>Заменить</strong> - удаление с последующим созданием существующего сопоставленного диска с новыми параметрами (в случае отсутствия такового, происходит создание нового сопоставления);</li><li><strong>Обновить</strong> - обновление определенных в элементе предпочтения параметров существующего сопоставленного диска без удаления последнего;</li><li><strong>Удалить</strong> - полное удаление сопоставленного диска.</li></ul><p>После того как вы определитесь с выполняемым действием (в нашем случае это создание нового сопоставления диска), вам предстоит указать физическое размещение диска, букву для диска, а также, при необходимости, задать дополнительные параметры. В текстовом поле <strong>Расположение</strong> укажите путь к сетевому ресурсу в полном UNC формате, например <strong>\\SERVER04\Sales Department</strong>. Если вы не знаете точного пути к общедоступному расположению, вызовите диалоговое окно пользовательского поиска, которое по умолчанию отображает результаты для запроса LDAP <strong>objectCategory=volume</strong>, как показано на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-03.jpg alt=* width=480 height=398/></p><p><strong>Рис. 2. Выполнение поиска общих папок</strong></p><p>Для того чтобы сопоставленный вами диск сохранялся в пользовательских параметрах и восстанавливался при каждом выполнении пользовательского входа в домен, вы можете установить флажок <strong>Повторное подключение</strong>. В текстовом поле <strong>Подписать</strong> вы можете указать метку для вашего диска, то есть текст, отображаемый возле буквы диска. В нашем примере, пусть это будет текст <strong>Общая папка продаж</strong>.</p><p>Группа <strong>Буква диска</strong> предназначена для настройки буквы сопоставляемого диска. Здесь вы можете остановиться на одном из двух следующих вариантов:</p><ul><li><strong>Использовать первую доступную букву, начинающуюся с:</strong> - сопоставленному диску будет назначаться первая доступная буква, согласно дискам на компьютере текущего пользователя. Например, если у пользователя на компьютере есть диски C, D, E, то буквой сопоставленного диска будет F;</li><li><strong>Использовать:</strong> - при использовании данного варианта, вы сможете самостоятельно указать любую букву для создаваемого сопоставленного диска. Например, для того же пользователя, о котором говорилось выше, вы можете создать диск, буквой которого будет X.</li></ul><p>Группа <strong>Подключиться как</strong> предоставляет вам возможность прохождения проверки подлинности на сопоставляемый диск при помощи учетной записи пользователя, отличного от того, который выполняет вход в систему. Об этой группе мы поговорим далее в этой статье.</p><p>Помимо всех указанных выше параметров, вы можете указывать настройки отображения как сопоставленных, так и физических дисков на компьютерах ваших пользователей. Для выполнения этих действий вы можете воспользоваться параметрами <strong>Показать или скрыть этот диск</strong> и <strong>Показать или скрыть все диски</strong> как по отдельности, так и в совокупности. Основное отличие этих параметров в том, что используя первый параметр, вы можете отображать для пользователя сопоставленный диск, используя значения <strong>Нет изменений</strong> или <strong>Показывать диск</strong>, или скрыть этот диск в окнах <a href=http://www.outsidethebox.ms/tag/explorer/ target=_blank title=Проводник - это не просто файловый менеджер. Ускорьте свою работу в облочке Windows!>проводника</a> Windows, используя значение Скрыть диск, а при применении второго параметра, вам предоставляется возможность настройки отображения всех сопоставленных и физических дисков в проводнике вашего пользователя. Так как нам необходимо, чтобы новый диск отображался для пользователей отдела продаж, выберите значение Показать диск для параметра <strong>Показать или скрыть этот диск</strong>.</p><p>В конечном счете, вкладка <strong>Общие</strong> диалогового окна <strong>Новые свойства диска</strong> должна выглядеть так, как показано ниже:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-04.jpg alt=* width=404 height=448/></p><p><strong>Рис. 3. Новые свойства первого сопоставляемого диска</strong></p><li>В связи с тем, что для создания первого сопоставляемого диска не требуется никаких дополнительных опций, после того как будут выполнены все указанные выше действия, сохраните изменения по нажатию на кнопку <strong>ОК</strong> текущего диалогового окна.</li><p>После этого необходимо создать второй элемент предпочтения, где будет добавлен еще один диск, для подключения к которому необходимы права определенного пользователя. Здесь, в диалоговом окне <strong>Новые свойства диска</strong> второго элемента предпочтения, вам необходимо также выбрать действие <strong>Создать</strong>, в текстовом поле <strong>Размещение</strong> указать путь к диску, доступ к которому есть только у одного пользователя, скажем, администратора сервера DC. Установите флажок <strong>Повторное подключение</strong>, подпишите диск как <strong>Secret Data</strong> и укажите для данного диска букву <strong>X</strong>. Так как к этому общему ресурсу может подключиться лишь администратор домена, для того чтобы у ваших пользователей отдела продаж этот диск отображался в проводнике Windows, вам необходимо указать учетные данные вашего администратора. Стоит отметить, что для обеспечения безопасности, к паролю учетной записи, который вы дважды укажите, на этой вкладке применяется 256-разрядное шифрование по стандарту AES, но, тем не менее, я настоятельно рекомендую вам как можно чаще менять пароль, так как долгосрочное использование даже сложных паролей чревато не самыми позитивными последствиями. Конечный результат предоставлен на следующем изображении:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-05.jpg alt=* width=404 height=448/></p><p><strong>Рис. 4. Создание второго сопоставленного диска</strong></p><li>Теперь, перед созданием второго объекта групповой политики, следует сохранить выполненные изменения, привязать объект GPO к определенному подразделению и проверить изменения. Для этого нажмите на кнопку <strong>ОК</strong> в диалоговом окне <strong>Новые свойства диска</strong>, закройте оснастку <strong>Редактор управления групповыми политиками</strong>, после этого свяжите созданный объект групповой политики с подразделением <strong>Продажи</strong>, содержащим учетные записи пользователей, для которых должны применяться параметры текущего объекта групповой политики. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li><p>Теперь выполним вход в систему пользователем Елена Аристова, которая расположена в отделе продаж. Как видно на следующей иллюстрации, помимо системного диска С, для этого пользователя также доступны диски S и X, в качестве дисков сетевого размещения:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-06.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-06_mini_oszone.jpg alt=* width=480 height=360/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Проводник Windows пользователя отдела продаж</strong></p><li>Как было сказано в начале этой статьи, следующим заданием является изменение буквы диска для первого сопоставленного диска, а также скрытие второго диска для всех пользователей отдела продаж. Для этого создадим второй объект групповой политики <strong>Изменения в сопоставлениях</strong>. В оснастке <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте первый объект GPO <strong>Изменения в сопоставлениях</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки <strong>Редактор управления групповыми политиками</strong> из контекстного меню выберите команду <strong>Изменить</strong>. Затем, в оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Сопоставления дисков</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды <strong>Создать</strong> и <strong>Сопоставленный диск</strong>. Здесь, в диалоговом окне <strong>Новые свойства диска</strong>, в раскрывающемся списке <strong>Действия</strong> выберите команду <strong>Обновить</strong>. Укажите размещение первого созданного вами сопоставляющего диска, то есть, <strong>\\SERVER04\Sales Department</strong> и укажите для него букву T. Остальные опции укажите такие же, как и в пункте 3 данного руководства. В результате должно получиться следующее:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-07.jpg alt=* width=404 height=448/></p><p><strong>Рис. 6. Изменение первого сопоставленного диска</strong></p><p>Помимо этого, перейдите на вкладку <strong>Общие параметры</strong>, установите флажок <strong>Нацеливание на уровень элемента</strong> и перейдите к диалоговому окну <strong>Редактор нацеливания</strong>. Здесь вам следует указать, чтобы текущий элемент предпочтения применялся только к тем пользователям, которые являются членами группы <strong>Продажи</strong>. Для этого выберите элемент <strong>Группа безопасности</strong>, где в текстовом поле <strong>Группа</strong> укажите название требуемой группы. При необходимости вы можете сверить SID самой группы или указать, что элемент предпочтения должен применяться лишь в том случае, если выбранная вами группа является основной группой, в которую входит пользователь. Пример такого уровня нацеливания предоставлен на следующем изображении:</p><br/><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-08.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-08_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Нацеливание на уровень элемента</strong></p><li>Сохраните установленные изменения для первого сопоставленного диска. После этого создайте еще один элемент предпочтения, где в действиях вы укажите значение <strong>Заменить</strong>, установите расположение второго сопоставленного диска (\\DC\F), а также, помимо всех параметров, которые были заданы в пункте 4, в группе <strong>Показать или скрыть этот диск</strong> вы укажите значение <strong>Скрыть диск</strong>. Для этого элемента предпочтения укажите такие же параметры нацеливания на уровень элемента, какие были заданы на предыдущем шаге. В результате, узел <strong>Сопоставления дисков</strong> для текущего объекта GPO у вас должен выглядеть следующим образом:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-09.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-09_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Узел Сопоставления дисков второго объекта GPO</strong></p><li>Закройте оснастку <strong>Редактор управления групповыми политиками</strong>, после чего свяжите созданный объект групповой политики с подразделением <strong>Продажи</strong> и укажите для этого объекта GPO наивысший приоритет для подразделения <strong>Продажи</strong>;</li></ol><p>На заключительном этапе следует проверить сопоставления дисков для разных пользователей подразделения Продажи, которые являются членами разных групп безопасности. Для начала, выполним вход под учетной записью пользователя Ксения Нелидова, которая расположена в подразделении Продажи, но не входит в группу безопасности с одноименным названием. Как видно на иллюстрации номер 9, никакие внесенные изменения во втором объекте групповой политики не коснулись данного пользователя:</p><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-10.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-10_mini_oszone.JPG alt=* width=480 height=361/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Проводник Windows пользователя Ксения Нелидова</strong></p><p>Но если выполнить вход под учетной записью пользователя Елена Аристова, то открыв проводник Windows, вы увидите, что буква сопоставленного диска <strong>Общая папка продаж</strong> изменилась, но, так как было выбрано действие <strong>Обновить</strong>, пользователь также может получить доступ к диску общей папки продаж, обращаясь у себя в проводнике Windows к диску S, поэтому обратите внимание на этот момент при работе в производственной среде. В свою очередь, к диску с секретными данными больше нет доступа. Эти изменения видны на следующей иллюстрации:</p><p><a href=http://www.oszone.net/figs/u/72715/110623103339/gppref4-11.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110623103339/gppref4-11_mini_oszone.JPG alt=* width=480 height=361/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Проводник Windows пользователя Елена Аристова после применения нового объекта GPO</strong></p><h2>Заключение</h2><br><p>Из этой статьи вы узнали о новом расширении клиентской стороны предпочтения групповой политики, предназначенном для управления сопоставления дисками. На примерах были подробным образом рассмотрены сценарии создания сопоставления дисков для общедоступных сетевых ресурсов, сетевых ресурсов с альтернативными учетными данными пользователя, обновления, а также изменения параметров сопоставления дисков. Помимо этого был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий управлять группой безопасности, в которую входит пользователь.</p> http://www.microsoft.com/rus/business/smb/blog/96/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 3 - 2</p><p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/sVNLPoXq4DM frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/95/ Microsoft for Business <h2>Введение</h2><br><p>Как много ваших пользователей сохраняют определенные документы в нужных папках и не разбрасывают их на своем рабочем столе? А как много ваших пользователей создают у себя в папке учетной записи пользователя осмысленные вложенные папки, с которыми потом они будут работать? Сомневаюсь, что к таким пользователям можно отнести даже треть сотрудников любой организации. Создание папки для одного пользователя в своем филиале, не является проблемой. Но, если перед вами будет по какой-то причине поставлена задача по созданию, скажем, 15 папок у 50 пользователей двух отделов, которые могут находиться в разных концах здания или, вообще, в офисах, расположенных в разных зданиях или городах, то весь этот процесс у вас может занять много вашего времени. Если же перед вами стоит такая задача, то вам следует попробовать воспользоваться предпочтениями групповой политики. В предыдущих двух статьях этого цикла вы уже узнали о том, как можно управлять системными переменными средами и переменными средами пользователей, а также научились создавать, заменять и удалять файлы ваших пользователей.</p><p>В этой статье речь пойдет об очередном расширении клиентской стороны, а именно о расширении CSE <strong>Папки</strong>, за которое, как и в случае с CSE <strong>Файлы</strong>, отвечает библиотека <strong>gpprefcl.dll</strong>, но в отличие от предыдущего расширения клиентской стороны, с предпочтением групповой политики папок связан идентификатор GUID {6232C319-91AC-4931-9385-E70C2B099F0E}. Как и в случаях, описанных в предыдущих статьях, расширением клиентской стороны Папки вы можете управлять из узлов конфигурации компьютера и конфигурации пользователя оснастки <strong>Редактор управления групповыми политиками</strong>.</p><h2>Узел предпочтений групповой политики Папки</h2><br><p>Как вы помните, при создании файлов средствами предпочтения групповой политики, в том случае, если при их создании вы указали несуществующую папку, то такая папка будет создана в процессе развертывания объекта групповой политики. С какой-то стороны это удобно. Вы можете просто создать для своих пользователей файлы в новых папках. Но если вашим пользователям не нужны новые документы или другие файлы, которые только могут их сбить с толку и тем самым остановить работу на несколько часов, вы можете создать еще один элемент предпочтения, который будет удалять созданный вами файл. Но в таком случае будут обрабатываться несколько объектов GPO, выполняющих противоположные действия. Целесообразно ли это? Вряд ли. Если же перед вами стоит задача централизованного создания папок, то вам следует использовать элементы предпочтений групповой политики, расположенные в узлах Папки из узлов конфигурации компьютера и конфигурации пользователя оснастки <strong>Редактор управления групповыми политиками</strong>. Элементы предпочтений, расположенные в текущих узлах редактора управления групповой политики предоставляют возможность создавать, изменять и удалять папки, а также соответствующие атрибуты для этих папок. Помимо этого, при помощи данного расширения CSE, вы можете настраивать элемент предпочтения на удаление всех файлов в конкретной папке, не удаляя саму папку.</p><p>В этом примере будет создана папка и удалена одна папка со всеми вложенными пустыми папками. Для того чтобы сделать все указанные выше задачи, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект GPO, например, <strong>Предпочитаемая политика папок</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Папки</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>, а затем команду <strong>Папка</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-01.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-01_mini_oszone.JPG alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание предпочтения групповой политики папок</strong></p><li>В отобразившемся диалоговом окне <strong>Новые свойства папки</strong>, на вкладке <strong>Общие</strong> вы можете обнаружить уже привычные для себя действия, которые были рассмотрены в первой и второй статьях цикла работы с предпочтениями групповой политики, а именно:</li><ul><li><strong>Создать</strong>. Это действие позволяет вам создавать новые папки для пользователей или компьютеров;</li><li><strong>Заменить</strong>. Текущее действие позволяет вам удалить, а затем заново создать папку для пользователя или компьютера, причем для действий <strong>Удалить</strong> и <strong>Заменить</strong> вы можете воспользоваться специальными атрибутами, о которых будет написано немного ниже;</li><li><strong>Обновить</strong>. Данное действие похоже на предыдущее, но отличается тем, что при использовании действия обновления, вы не можете удалять вложенные папки и файлы, а лишь обновлять параметры, указанные в создаваемом вами элементе;</li><li><strong>Удалить</strong>. При помощи этого действия вы можете удалить папку пользователя или компьютера.</li></ul><p>В связи с тем, что первым примером в этой статье является действие создания новой папки, из раскрывающегося списка действия, выберите команду <strong>Создать</strong>.</p><p>В отличие от процесса создания файлов, при работе с элементами папок, вам не нужно указывать не исходные, не конечные расположения, а просто нужно указать путь к расположению папки, которая будет создаваться. Вы можете ввести путь к папке в текстовом поле <strong>Путь</strong> или выбрать расположение папки, вызвав диалоговое окно <strong>Выбор папки</strong>. Но, в случае работы с диалоговым окном выбора папки обратите внимание на то, что вы сможете выбрать расположение на текущем компьютере. Введите в текстовое поле путь, скажем, <strong>C:\BiopharmDocs</strong>.</p><p>Помимо указания пути к создаваемой папке, вы также можете настроить стандартные системные атрибуты <strong>Только чтение</strong>, <strong>Скрытый</strong> и <strong>Архивация</strong>, установив для этого соответствующие флажки. Обратите внимание на то, что при выборе действия <strong>Удалить</strong> вы не сможете воспользоваться данными атрибутами. Пример настройки данной вкладки отображен на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-02.jpg alt=* width=404 height=448/></p><p><strong>Рис. 2. Вкладка Общие диалогового окна свойств новой папки</strong></p><li>С вкладкой <strong>Общие параметры</strong> вы, скорее всего, уже знакомы по двум предыдущим статьям. Так как нет необходимости каждый раз при входе пользователей в систему создавать новую папку в текущем расположении, установите флажок на опции <strong>Применить один раз и не применять повторно</strong>. Также, для того чтобы понемногу освоить функционал нацеливания на уровень элемента, установите флажок <strong>Нацеливание на уровень элемента</strong>, как показано ниже, а затем нажмите на кнопку <strong>Нацеливание</strong>:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-03.jpg alt=* width=404 height=448/></p><p><strong>Рис. 3. Настройки общих параметров при создании новой папки</strong></p><li>В двух предыдущих статьях были рассмотрены такие элементы нацеливания как <strong>Операционная система</strong>, <strong>Диапазон IP-адресов</strong>, а также <strong>Свободное место на диске</strong>. В этом примере зададим NetBIOS-имя домена, членом которого должен являться вошедший в систему пользователь. То есть, если пользователь выполнит вход в другой домен или локально, данный элемент предпочтения групповой политики не будет применяться и, соответственно, новая папка не будет создана. Для этого, в диалоговом окне <strong>Редактор нацеливания</strong> нажмите на кнопку <strong>Создать элемент</strong> и из раскрывающегося списка выберите опцию <strong>Домен</strong>. Укажите в соответствующее текстовое поле имя домена или выберите домен в диалоговом окне пользовательского поиска. Также вы можете указать параметр, который сравнивает указанное имя домена с доменом, к которому подключен пользователь или к которому принадлежит компьютер. В этом случае не стоит ничего переключать, так как данный параметр устанавливается согласно параметрам узла, в котором создается предпочитаемая групповая политика (в этом примере элемент предпочтения создается в узле <strong>Конфигурация компьютера</strong>). Введите NetBIOS-имя в текстовое поле и нажмите на кнопку <strong>ОК</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-04.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-04_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Настройка нацеливания на уровень элемента</strong></p><li>В диалоговом окне <strong>Новые свойства папки</strong> нажмите на кнопку <strong>ОК</strong> для сохранения элемента предпочтения;</li><li>Следующий элемент предпочтения будет создан для удаления всех пустых папок, расположенных в конкретной папке. Для этого создайте новый элемент предпочтения, в котором из раскрывающегося списка <strong>Действие</strong> будет выбрано действие <strong>Удалить</strong>. Укажите путь к папке, например, <strong>C:\MyTrash</strong> и укажите один или несколько следующих дополнительных атрибутов:</li><ul><li><strong>Удалить папку (если очищена)</strong>. Данную опцию целесообразно выбирать в том случае, если вам нужно очистить всю папку, но только в том случае, если она пустая;</li><li><strong>Удалить все вложенные папки (если очищены)</strong>. При помощи этого флажка вы можете удалить все пустые папки, расположенные внутри целевой папки;</li><li><strong>Удалить все файлы в папках</strong>. Используя текущую опцию, вы можете удалить все файлы, расположенные внутри папок, на которые распространяется данный элемент предпочтения;</li><li><strong>Разрешить удаление файлов и папок, доступных только для чтения</strong>. При помощи этой опции вы можете удалять файлы и папки, для которых установлен атрибут Только для чтения;</li><li><strong>Игнорировать ошибки для файлов и папок, которые не удалось удалить</strong>. Скорее всего, вы часто сталкивались с ситуациями, когда вы не можете удалить какой-то определенный файл или папку, т.к. они заняты каким-то процессом или когда у пользователя просто недостаточно полномочий для выполнения этого действия. Используя текущую опцию, вы можете автоматически игнорировать любые сообщения об ошибках.</li></ul><p>Так как стоит задача удаления пустых папок, вам следует установить следующие флажки: <strong>Удалить папку (если очищена)</strong> (при выборе действия <strong>Удалить</strong> этот флажок установлен по умолчанию и его невозможно снять), а также <strong>Удалить все вложенные папки (если очищены)</strong>, как можно увидеть на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110606055523/GPPref3-05.jpg alt=* width=404 height=448/></p><p><strong>Создание элемента предпочтения для удаления пустых папок</strong></p><li>После того как вы настроили все необходимые параметры групповой политики, закройте оснастку <strong>Редактор управления групповой политики</strong> и свяжите созданный объект групповой политики с подразделением, содержащим учетные записи пользователей, для которых должны применяться параметры текущего объекта групповой политики. Для этого, в дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, содержащее учетные записи компьютеров, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду Связать существующий объект групповой политики. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><h2>Заключение</h2><br><p>В этой статье продолжается обзор элементов предпочтения групповой политики. Вы узнали о расширении клиентской стороны предпочтений групповой политики <strong>Папки</strong>. В статье были рассмотрены примеры создания и удаления папки, а также был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий указывать домен, членом которого должен являться пользователь или компьютер.</p> http://www.microsoft.com/rus/business/smb/blog/94/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 3 - 1</p><p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/gilIA8iMArI frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/93/ Microsoft for Business <h2>Введение</h2><br><p>Буквально на прошлой неделе вы могли прочитать о возможности настройки переменных сред ваших пользователей средствами функционала предпочтений групповой политики. Помимо изменений переменных сред, при помощи таких расширений клиентской стороны, как предпочтения групповой политики вы еще можете выполнять сотни административных задач, позволяющих вам обесsпечивать конечным пользователям наиболее комфортную работу со своими операционными системами в организации, согласно любым требованиям. Например, вы можете назначить состояние системных служб для всех пользователей на конкретных компьютерах или указать задания, которые будут выполняться согласно назначенному вами расписанию для конкретных групп пользователей, можете добавить новые параметры реестра в разделы HKEY_LOCAL_MACHINE или HKEY_CURRENT_USER или настроить меню Пуск конкретному пользователю. Как видите, функционал предпочтений групповой политики не ограничивает вас конкретными параметрами групповой политики, то есть, используя предоставленные вам операционной системой <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>/2008 R2 расширения клиентской стороны, вы можете создавать свои собственные, уникальные параметры групповой политики, позволяющие вам наиболее эффективно управлять вашим парком компьютеров. А вот сама эффективность применения созданных вами элементов предпочтений предпочитаемых групповых политик будет зависеть только от того, какие поставлены перед вами задачи и как хорошо вы разработаете свои собственные предпочтения групповой политики.</p><p>В этой статье будет рассмотрено расширение клиентской стороны <strong>Файлы</strong>, за которые отвечает динамическая библиотека <strong>gpprefcl.dll</strong> и с которым связан идентификатор GUID {7150F9BF-48AD-4da4-A49C-29EF4A8369BA}. Также как и в случае с предпочтением групповой политики переменных сред, расширением клиентской стороны <strong>Файлы</strong> вы можете управлять из узлов конфигурации компьютера и конфигурации пользователя оснастки <strong>Редактор управления групповыми политиками</strong>.</p><h2>Узел предпочтений групповой политики Файлы</h2><br><p>Перед тем как начать создавать элемент предпочтения для соответствующего расширения CSE, вам стоит для себя ответить на простой вопрос. Какую пользу для вас может принести предпочтение групповой политики <strong>Файлы</strong>, если ваши пользователи и сами могут распоряжаться файлами, расположенными локально и на сетевых ресурсах? Прежде всего, стоит знать то, что данное расширение клиентской стороны позволяет централизовано копировать файлы из расположения А в новое расположение Б, где расположением А может выступать UNC путь к указанному файлу или файл, расположенный на локальной машине, а расположением Б обычно выступает целевой компьютер. Помимо этого, при помощи текущего предпочтения вы можете также конфигурировать стандартные атрибуты файлов и заменить или удалять существующие на целевом компьютере файлы. Стоит отметить, что в том случае, если вы для создаваемого файла указываете имя несуществующей папки, то такая папка на целевом компьютере будет создана автоматически. Так как я сомневаюсь, что вам придется регулярно пользоваться данным расширением текущей стороны, в следующем примере, при помощи элементов предпочтений, для всех пользователей однократно будет создан новый документ, заменена существующая электронная таблица, а также будет удалена ненужная презентация. Для того чтобы сделать все указанные выше задачи, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект GPO, например, <strong>Предпочитаемая политика файлов</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация компьютера\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Файлы</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>, а затем команду <strong>Файл</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110419104617/gppref2-01.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110419104617/gppref2-01_mini_oszone.JPG alt=* width=480 height=343/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание предпочтения групповой политики файлов</strong></p><li>Подобно действиям, выбираемым на вкладке <strong>Общие</strong> диалогового окна свойств создаваемого элемента предпочтения переменных сред, на соответствующей вкладке диалогового окна <strong>Новые свойства файла</strong>, вы можете выбрать одно из четырех уже известных вам действий:</li><ul><li><strong>Создать</strong>. Текущее действие позволяет вам скопировать новый файл из исходного расположения (UNC-пути или локального компьютера) на целевой компьютер и, при необходимости, настроить для него атрибуты;</li><li><strong>Заменить</strong>. Данное действие удаляет существующий на целевом компьютере файл, а после чего заменяет его другим файлом, указанным в элементе предпочтения. Если же на целевом компьютере такого файла не существует, то будут выполнены аналогичные действия, которые выполняются при создании файла;</li><li><strong>Обновить</strong>. От предыдущего действия, действие <strong>Обновить</strong> отличается тем, что на целевом компьютере будут обновлены лишь атрибуты файла, которые определяются в соответствующем элементе предпочтения, а сам файл остается без изменений;</li><li><strong>Удалить</strong>. Как уже понятно из самого названия действия, при помощи действия <strong>Удалить</strong> вы можете удалить существующий файл для пользователей или компьютеров.</li></ul><p>Так как в этом сценарии будут создаваться, заменяться и удаляться файлы, для начала следует выбрать действие <strong>Создать</strong>.</p><p>Для создания новых файлов, на вкладке <strong>Общие</strong> соответствующего диалогового окна, вы можете воспользоваться следующими управляющими элементами:</p><ul><li><strong>Исходные файлы</strong>. В это текстовое поле вам нужно ввести полный путь UNC или путь к файлу на локальном компьютере. Если вы не знаете точного расположения файла, то можете воспользоваться опцией <strong>Открыть</strong>, по нажатию на которую, в отобразившемся диалоговом окне <strong>Открыть</strong>, можно выбрать файл, который будет создан на целевом компьютере. В случае, указанном в данном примере, такой файл находится в расположении C:\Users\Администратор\Documents\BIOPHARM\top-secret.docx;</li><li><strong>Конечный файл</strong>. Данное текстовое поле отвечает за местоположение файла на целевом компьютере. Также как и в поле <strong>Исходные файлы</strong>, вы можете указать UNC путь, сопоставленный диск со стороны клиента или локальный путь. В большинстве случаев используется именно локальный путь. Файл, который указан в текущем текстовом поле будет создан на целевом компьютере. В данном примере, конечным файлом будет %systemdrive%\Biopharm\secretfile.docx;</li><li><strong>Атрибуты</strong>. Каждому файлу можно настроить такие атрибуты, как <strong>Только чтение</strong>, <strong>Скрытый</strong> и <strong>Архивация</strong>. Для того чтобы настроить такие атрибуты у файла, созданного, замененного или обновленного на целевом компьютере, вам нужно установить флажок напротив соответствующего атрибута. Например, в данном примере достаточно, чтобы был установлен атрибут <strong>Архивация</strong>, как показано на следующей иллюстрации:</li></ul><br/><p><img src=http://www.oszone.net/figs/u/72715/110419104617/gppref2-02.jpg alt=* width=404 height=447/></p><p><strong>Рис. 2. Вкладка Общие диалогового окна новых свойств файла</strong></p><li>Как вы знаете, на вкладке <strong>Общие параметры</strong> можно указать параметры, позволяющие управлять использующим при обработке пользовательских настроек контекстом безопасности, областью предпочтений, а также фильтрами предпочтений совместно с фильтрацией групповой политики. Как уже было сказано ранее, после создания документа, пользователям нужно будет с ним работать. Соответственно, если элемент предпочтения будет распространяться на пользователей несколько раз, то вся работа, выполненная над этим документом, может завершиться неудачей. Поэтому, при создании предпочтений групповой политики файлов, лучше всего устанавливать флажок <strong>Применить один раз и не применять повторно</strong>, что позволит запретить перезапись файла каждые 90 - 120 минут. Помимо этого, для того чтобы установить более гибкую фильтрацию, установите флажок на опции <strong>Нацеливание на уровень элемента</strong>, как показано ниже:</li><br/><p><img src=http://www.oszone.net/figs/u/72715/110419104617/gppref2-03.jpg alt=* width=404 height=447/></p><p><strong>Рис. 3. Вкладка Общие параметры диалогового окна новых свойств файла</strong></p><li>Для того чтобы настроить дополнительную фильтрацию, нажмите на кнопку <strong>Нацеливание</strong>. В данном примере установим ограничение на применение элемента предпочтения, согласно количеству свободного пространства на системном диске целевого компьютера. Другими словами, файл будет создаваться только лишь в том случае, если свободное место на диске С на обрабатывающем компьютере будет равно 20 гигабайт или будет превышать текущее значение. Для этого, в диалоговом окне <strong>Редактор нацеливания</strong> нажмите на кнопку <strong>Создать элемент</strong> и из раскрывающегося списка выберите опцию <strong>Место на диске</strong>. После этого, из раскрывающегося списка <strong>Свободно на диске</strong> выберите любое значение, а после чего укажите значение <strong>20</strong>. Из списка <strong>Буква диска</strong>, так как не на каждом компьютере системным диском может быть диск С, выберите опцию <strong>Системный</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110419104617/gppref2-04.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110419104617/gppref2-04_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Редактор нацеливания элемента предпочтения</strong></p><li>Нажмите на кнопку <strong>ОК</strong> в диалоговом окне редактора нацеливания, после чего нажмите на кнопку <strong>ОК</strong> в диалоговом окне свойств создаваемого вами элемента предпочтения;</li><li>В редакторе управления групповыми политиками, из узла <strong>Файлы</strong> конфигурации компьютера, создайте новый элемент предпочтения, где будет выбрано действие <strong>Заменить</strong>. В текстовом поле следует указать путь к файлу, расположенному на локальном компьютере или в сетевом расположении, например, в моем случае это будет C:\Users\Администратор\Documents\BIOPHARM\table.xlsx, а в текстовом поле <strong>Конечный файл</strong>, укажите путь к файлу на целевом компьютере, например, %systemdrive%\Excel\Secrettable.xlsx. На вкладке <strong>Общие параметры</strong> установите флажки на опциях <strong>Применить один раз и не применять повторно</strong> и <strong>Нацеливание на уровень элемента</strong>, а в редакторе нацеливания создайте такой же элемент нацеливания, как выполнялось в шаге 5. Для полноценного тестирования элемента предпочтения файлов с действием замены желательно, чтобы на целевом компьютере в указанной вами папке присутствовал файл, который отличается от того, который будет заменяться средствами GPO. Создайте третий элемент предпочтения файла, где в раскрывающемся списке <strong>Действие</strong> выберите команду <strong>Удалить</strong>. При выборе этого действия, так как будет удаляться файл на конечном компьютере, нельзя указать исходный файл. Укажите файл, который будет удаляться, например, %systemdrive%\Biopharm\presentation.pptx. Для этого действия также нельзя выбирать никакие атрибуты. Перейдите на вкладку <strong>Общие параметры</strong> и установите такие же флажки и элементы нацеливания, которые указывались для предыдущих элементов предпочтения. Так же, как и в случае с предыдущим элементом нацеливания, желательно, чтобы на пользовательском компьютере была расположена презентация в соответствующей папке. После создания последнего элемента предпочтения, узел <strong>Файлы</strong> редактора управления групповыми политиками должен выглядеть так, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110419104617/gppref2-05.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110419104617/gppref2-05_mini_oszone.jpg alt=* width=480 height=261/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Узел Файлы редактора управления групповыми политиками</strong></p><li>После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку <strong>Редактор управления групповой политики</strong>. Теперь осталось связать созданный объект групповой политики с подразделением, содержащим учетные записи мобильных компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, содержащее учетные записи компьютеров, например, в моем <a>случае</a>, это подразделение <strong>Рабочие станции</strong>. Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>После того как ваши пользователи в следующий раз выполнят вход в систему, у них будет создан новый документ, заменена электронная таблица, а также в том случае, если на компьютерах была расположена презентация, она будет удалена.</p><h2>Заключение</h2><br><p>Из этой статьи вы узнали об очередном расширении клиентской стороны предпочтений групповой политике, а именно о настройке файлов. На примерах вы увидели, как можно создавать, заменять и удалять файлы на целевых компьютерах при помощи соответствующего расширения CSE. Также в данной статье была вкратце рассмотрена очередная нацеленность предпочтений на уровень элементов, а именно определение объекта действия, согласно дисковому пространству. В следующей статье данного цикла вы узнаете о работе с папками при помощи предпочтений групповой политики.</p> http://www.microsoft.com/rus/business/smb/blog/92/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 2 - 2</p><p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/H6300zrCTjU frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/91/ Microsoft for Business <p>В повседневной практике любому бизнесмену приходится сталкиваться с ситуацией, когда необходимо узнать курс той или иной валюты на сегодня или на определенную дату, например, заключения договора или оплаты по счету. Microsoft Excel позволяет сделать это легко и красиво несколькими простыми способами.</p><h2>Способ 1. Простой веб-запрос для текущего курса валют</h2><br><p>Нажмите на вкладке <strong><em>Данные </em></strong>в группе <strong><em>Получение внешних данных </em></strong>кнопку<strong><em> Из Интернета (Data - Import external data - </em></strong><strong><em>From</em></strong><strong></strong><strong><em>Web</em></strong><strong><em>)</em></strong>. В Excel 2003 и более старых версиях эта команда доступна через меню <strong><em>Данные - Импорт внешних данных - Создать веб-запрос (</em></strong><strong><em>Data </em></strong><strong><em>- </em></strong><strong><em>Import</em></strong><strong></strong><strong><em>External</em></strong><strong></strong><strong><em>Data </em></strong><strong><em>- </em></strong><strong><em>Create</em></strong><strong></strong><strong><em>web</em></strong><strong><em>-</em></strong><strong><em>query</em></strong><strong><em>)</em></strong>. </p><p>Появится окно, напоминающее обозреватель Internet Explorer в миниатюре. В строку <strong>Адрес </strong>введите URL сайта, с которого будет браться информация (например <a href=http://www.yandex.ru/ target=_blank><strong>http://www.yandex.ru</strong></a> или <a href=http://www.cbr.ru target=_blank><strong>www</strong><strong>.</strong><strong>cbr</strong><strong>.</strong><strong>ru</strong></a>) и нажмите Enter.</p><p><img src=../../imgs/blogs/90/img001.jpg alt= width=90% border=0 /></p><p>Когда страница загрузится, то на таблицах, которые Excel может импортировать, появятся черно-желтые стрелки. Щелчок по такой стрелке помечает таблицу для импорта:</p><p><img src=../../imgs/blogs/90/img002.jpg alt= width=271 height=149 border=0 /></p><p>Когда все необходимые таблицы помечены - нажмите кнопку <strong>Импорт (Import) </strong>в правом нижнем углу окна. Спустя некоторое время, необходимое для загрузки данных, содержимое импортируемых таблиц появится в ячейках на листе. Для дополнительной настройки можно щелкнуть по любой из этих ячеек правой кнопкой мыши и выбрать в контекстном меню команду <strong><em>Свойства диапазона данных (Data range properties). </em></strong>В этом диалоговом окне можно, при желании, настроить периодичность обновления и другие параметры:</p><p><img src=../../imgs/blogs/90/img003.jpg alt= width=90% border=0 /></p><p>Котировки акций, т.к. они меняются каждые несколько минут, можно обновлять почаще (флажок <strong>Обновлять каждые N мин.</strong>), а вот курсы валют, в большинстве случаев, достаточно обновлять раз в день (флажок <strong>Обновление при открытии файла</strong>).</p><p><em>Обратите внимание, что весь импортированный диапазон данных воспринимается Excel как единое целое и получает собственное имя (в нашем примере это будет www.yandex.ru)</em></p><h2>Способ 2. Параметрический веб-запрос для получения курса валют на заданный интервал дат</h2><br><p>Этот способ представляет собой слегка модернизированный первый вариант, и дает пользователю возможность получать курс нужной валюты не только на текущий день, но и на любую другую интересующую дату или интервал дат. Для этого наш веб-запрос надо превратить в параметрический, т.е. добавить к нему два уточняющих параметра (код нужной нам валюты и текущую дату). Для этого делаем следующее:</p><p>1. Создаем веб-запрос (см. способ 1) к странице сайта Центробанка России с архивом курсов: <a href=http://cbr.ru/currency_base/dynamics.aspx><strong>http://cbr.ru/currency_base/dynamics.aspx</strong></a></p><p>2. В форме слева выбираем нужную валюту и задаем начальную и конечную даты:</p><p><img border=0 width=264 height=199 src=../../imgs/blogs/90/img009.gif alt=Описание: http://www.planetaexcel.ru/images/tips_pics/webquery3.gif /></p><p>3. Жмем кнопку <strong>Получить </strong>и через пару секунд видим таблицу с нужными нам значениями курса на заданном интервале дат - выделяем ее, щелкнув по черно-желтой стрелке:</p><p><img border=0 width=90% src=../../imgs/blogs/90/img005.gif alt=Описание: http://www.planetaexcel.ru/images/tips_pics/webquery4.gif /></p><p>Теперь ищем в правом верхнем углу окна кнопку с дискетой <strong>Сохранить запрос (Save Query)</strong> и сохраняем файл с параметрами нашего запроса в любую подходящую папку под любым удобным именем - например в <em>Мои документы</em>под именем <em>cbr.iqy. </em>После этого окно веб-запроса и весь Excel можно пока закрыть. Пример файла <em>cbr.iqy</em>можно скачать <a href=http://www.planetaexcel.ru/docs/cbr.iqy target=_blank><strong>здесь</strong></a>.</p><p>4. Открываем папку, куда сохранили запрос и ищем файл запроса <em>cbr.iqy</em>, затем щелкаем по нему правой кнопкой мыши - <strong>Открыть с помощью - Блокнот</strong> (или выбрать его из списка - обычно это файл <em>Notepad.exe</em>из папки <em>C:\Windows</em>). После открытия файла запроса в Блокноте должны увидеть примерно следующее:</p><p>WEB</p><p>1</p><p>http://cbr.ru/currency_base/dynamics.aspx ?VAL_NM_RQ=R01235&amp;date_req1=01.01.1992&amp;r1=1&amp;date_req2=06.01.2010 &amp;C_month=01&amp;C_year=1992&amp;rt=1&amp;mode=1&amp;x=58&amp;y=6 </p><p>Selection=38</p><p>Formatting=None</p><p>PreFormattedTextToColumns=True</p><p>ConsecutiveDelimitersAsOne=True</p><p>SingleBlockTextImport=False</p><p>DisableDateRecognition=False</p><p>DisableRedirections=False </p><p>Самое ценное здесь - строка с адресом и параметры запроса в ней, которые мы будем подставлять - код нужной нам валюты (выделено красным) и конечная дата, которую мы заменим на сегодняшнюю (выделено синим). Аккуратно редактируем строку, чтобы получилось следующее:</p><p>http://cbr.ru/currency_base/dynamics.aspx?VAL_NM_RQ=[&quot;Код валюты&quot;]&amp;date_req1=01.01.1992&amp;r1=1&amp;date_req2=[&quot;Дата&quot;] &amp;C_month=01&amp;C_year=1992&amp;rt=1&amp;mode=1&amp;x=58&amp;y=6 </p><p>Все остальное оставляем как есть, сохраняем и закрываем файл.</p><p>5. Создаем новую книгу в Excel, открываем лист, куда хотим импортировать архив курсов ЦБ. В любую подходящую ячейку вводим формулу, которая даст нам текущую дату в текстовом (!) формате для подстановки в запрос:</p><p>=ТЕКСТ(СЕГОДНЯ();&quot;ДД.ММ.ГГГГ&quot;)</p><p>или в английской версии </p><p>=TEXT(TODAY(),&quot;dd.mm.yyyy&quot;) </p><p>Куда-нибудь рядом вводим код нужной нам валюты из таблицы:</p><table border=1 cellspacing=0 cellpadding=0 width=200><tr><td><p><strong>Валюта</strong></p></td><td><p><strong>Код</strong></p></td></tr><tr><td><p>Доллар США</p></td><td><p>R01235</p></td></tr><tr><td><p>Евро</p></td><td><p>R01239</p></td></tr><tr><td><p>Фунт стерлингов</p></td><td><p>R01035</p></td></tr><tr><td><p>Японская иена</p></td><td><p>R01820</p></td></tr></table><br /> <p>Нужный код также можно подсмотреть в строке запроса прямо на сайте ЦБ.</p><p>6. Загружаем данные на лист, используя в качестве основы созданные ячейки и файл cbr.iqy, т.е. идем в меню <strong><em>Данные - Импорт внешних данных - Импортировать данные (Data - Import External Data - Import Data) </em></strong>в Excel 2003 или на вкладку <strong><em>Данные - Имеющиеся подключения (Data - Existing Connections)</em></strong> в Excel 2007/2010. В открывшемся окне выбора источника данных находим и открываем файл <em>cbr.iqy</em>. Перед импортом Excel уточнит у нас три момента.</p><p>Во-первых, куда импортировать таблицу с данными:</p><p><img src=../../imgs/blogs/90/img006.png alt= width=90% border=0 /></p><p>Во-вторых, откуда брать дату (можно установить флажок <strong>Использовать данное значение по умолчанию (Use this value/reference for future refreshes)</strong>, чтобы не указывать потом каждый раз эту ячейку при обновлениях и флажок <strong>Автоматически обновлять при изменении значения ячейки (Refresh automatically when cell value changes)</strong>:</p><p><img src=../../imgs/blogs/90/img007.png alt= width=90% border=0 /></p><p>В-третьих, из какой ячейки брать код валюты (тут также можно установить оба флажка, чтобы завтра не пришлось задавать эти параметры вручную при обновлении).</p><p>Жмем <strong>ОК</strong>, ждем пару секунд и получаем полный архив курса нужной валюты на листе:</p><p><img src=../../imgs/blogs/90/img008.png alt= width=401 height=286 border=0 /></p><p>При наличии доступа к интернету данные будут автоматически обновляться каждый день, т.е. таблица будет самостоятельно дополняться новыми данными. </p><h2>P.S.</h2><br><p>Вытаскивать из нашей таблицы курс за нужную дату проще всего с помощью функции <strong>ВПР (VLOOKUP) </strong>- если вы с ней не знакомы, то очень советую <a href=http://planetaexcel.ru/tip.php?aid=26 target=_blank><strong>сделать это</strong></a>. </p><p>Вот такой формулой, например, можно выбрать из нашей таблицы курс доллара за 20 июля 1992 года:</p><p><strong>=ВПР(A1;cbr;3;ИСТИНА)</strong></p><p>или в англоязычном варианте =VLOOKUP(A1,cbr,3,TRUE) </p><p>где</p><ul><li><strong>А1</strong>- ячейка, где лежит заданная дата (20.07.1992) </li><li><strong>cbr</strong>- имя диапазона данных (автоматически создается при импорте и обычно совпадает с именем файла запроса) </li><li><strong>3</strong>- порядковый номер столбца в нашей таблице, откуда мы берем данные </li><li><strong>ИСТИНА</strong>или <strong>TRUE</strong>- аргумент, определяющий приблизительный поиск, чтобы можно было находить курсы и для тех промежуточных дат, которые фактически не присутствуют в столбце А. Подробнее про приблизительный поиск с помощью функции ВПР можно <a href=http://planetaexcel.ru/tip.php?aid=39 target=_blank><strong>понятно почитать тут</strong></a>.</li></ul> http://www.microsoft.com/rus/business/smb/blog/90/ Microsoft for Business <h2>Описание доклада</h2><br /><p>Создание кастомных Content Types, List Definition, List Instance, Site Fields для SharePoint 2010</p><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId><input type=hidden value=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9 id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl><div style=height:400px;width:460px id=silverlightControlHost><div id=silverlightPlayer><object style=height:380px;width:460px type=application/x-silverlight-2 data=data:application/x-silverlight-2,><param value=http://www.techdays.in.ua/TechDaysPlayer.xap name=source><param value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3733,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;width={0}&amp;height={1} name=initParams><param value=onSilverlightError name=onError><param value=white name=background><param value=3.0.40624.0 name=minRuntimeVersion><param value=true name=autoUpgrade><a style=text-decoration: none; href=http://go.microsoft.com/fwlink/?LinkID=124807><img style=border-style: none alt=Get Microsoft Silverlight src=http://www.techdays.in.ua/App_Themes/9-9/images/zaglushka.png></a></object></div><div style=display: none id=MediaPlayer><object style=height:380px;width:460px type=application/x-ms-wmp id=Player> <param value=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;IsSilverLight=false name=URL><param value=False name=AutoStart><param value=true name=stretchToFit><param value=true name=SendPlayStateChangeEvents></object></div> <iframe style=visibility: hidden; height: 0; width: 0; border: 0px></iframe> <div style=text-align:center; font-size: 14px; padding-bottom: 10px; class=PlayerSwitcher><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a style=display:none onclick=ChangeLink(true) href=javascript: id=silverlightLink>Watch using Silverlight</a> <a onclick=ChangeLink(false) href=javascript: id=WindowsMediaLink>Watch using Windows Media Player</a></div></div></div></div> http://www.microsoft.com/rus/business/smb/blog/89/ Microsoft for Business <h2>Введение</h2><br><p>Предпочтения групповой политики, также называющиеся настройками групповой политики, являются набором расширений клиентской стороны, впервые появившихся в операционной системе <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>, обеспечивающие возможность централизованной настройки и управления определенными параметрами операционной системы. В отличие от остальных параметров групповой политики, предпочтения групповой политики записывают свои параметры в те разделы системного реестра, в которых хранятся параметры, изменяемые средствами операционной системы или приложений, что позволяет не блокировать возможности изменений соответствующих параметров в графическом интерфейсе, а просто указать настройки по умолчанию и дать пользователю возможность при необходимости изменить соответствующую настройку. Предпочтения групповой политики предназначены для настройки компонентов Windows и настройки некоторых параметров панели управления. Стоит отметить, что политики конфигурации Windows содержат настройки, отвечающие за переменные среды, параметры реестра, общие сетевые ресурсы и многие другие настройки, которые обычно приходится настраивать, используя различные сценарии входа. В свою очередь, политики параметров панели управления обеспечивают возможность конфигурирования таких настроек, как назначенные задания, системные службы, опции электропитания и прочие параметры, настройки которых в графическом интерфейсе можно найти в панели управления операционной системы. В этой статье будет рассмотрено такое расширение клиентской стороны предпочтения групповой политики, как Среда, которое можно найти в узле Конфигурация Windows родительских узлов конфигурации компьютера и конфигурации пользователя.</p><h2>Узел предпочитаемой групповой политики Среда</h2><br><p>Предпочтения групповой политики <strong>Среда</strong> позволяют вам управлять пользовательскими или системными переменными средами целевого компьютера. При помощи этого расширения клиентской стороны вы можете создавать новые пользовательские или системные переменные среды, модифицировать или изменять существующие, например, расположение папки TEMP, командную строку или всю переменную PATH, а также удалять отдельные фрагменты или всю переменную среду. Рассмотрим распространение предпочтения групповой политики <strong>Среда</strong> на простом примере: в следующем сценарии будет создана новая пользовательская переменная среда, а также изменено расположение папки TEMP. Для того чтобы реализовать указанные выше задачи, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%, узел Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. В узле <strong>Объекты групповой политики</strong> создайте объект GPO, например, <strong>Предпочитаемая политика переменной среды</strong>, выберите этот объект GPO, нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация пользователя\Настройка\Конфигурация Windows</strong> и выберите узел <strong>Среда</strong>. Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>, а затем команду <strong>Переменные среды</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110412061534/gppref1-01.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-01_mini_oszone.JPG alt=* width=480 height=341/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание предпочитаемой групповой политики переменных сред</strong></p><li>В отобразившемся диалоговом окне на вкладке общие вы можете задать общие настройки для обрабатываемого элемента предпочтения групповой политики. Например, практически для каждого расширения клиентской стороны предпочтения групповой политики, в раскрывающемся меню <strong>Действие</strong> вы можете выполнить одно из четырех следующих действий:</li><ul><li><strong>Создать</strong>. Это действие позволяет создать новый элемент переменной среды или добавить разделенный с запятой сегмент в переменную PATH для системной переменной среды. Сама по себе переменная PATH содержит список путей к папкам, используемых операционной системой при размещении файлов;</li><li><strong>Заменить</strong>. Текущее действие позволяет удалить существующий элемент и заменить его отконфигурированным элементом настройки переменной среды. В итоге, параметры, связанные с определенной переменой средой будут перезаписаны существующими настройками в текущем параметре групповой политики;</li><li><strong>Обновить</strong>. Действие обновления позволяет модифицировать существующий элемент настройки или, в том случае, если такого элемента не существует, предварительно создать его. По сути, от предыдущего действия, действие обновления отличается тем, что это действие только обновляет параметры, заданные в элементе предпочтения, причем, остальные параметры не будут изменяться;</li><li><strong>Удалить</strong>. При помощи этого действия вы можете удалить существующий элемент или параметр, в данном случае, удалить переменные среды или удалить разделенный с запятой сегмент в переменную PATH для системной переменной среды.</li></ul><p>На вкладке <strong>Общие</strong> вы можете найти два следующих переключателя: <strong>пользовательская переменная</strong> и <strong>системная переменная</strong>. Пользовательская переменная устанавливается автоматически в том случае, если создание элемента предпочтения переменной среды было вызвано из узла <strong>Конфигурация пользователя</strong>. Выбрав данный параметр, все указанные настройки элемента предпочтения будут влиять только на пользователя. Соответственно, переменная среда будет храниться в разделе системного реестра HKEY_CURRENT_USER. В свою очередь, выбрав системную переменную, указанные настройки элемента предпочтения будут распространяться на всех пользователей целевого компьютера, а сама переменная среда будет храниться в разделе системного реестра HKEY_LOCAL_MACHINE.</p><p>Обязательными условиями создания предпочтения групповой политики переменной среды, являются заполнение полей <strong>Имя</strong> и <strong>Значение</strong>. Поле <strong>Имя</strong> предназначено для определения наименования переменной среды, к которой будет применимо соответствующее действие. В том случае, если вам нужно внести изменения в переменную PATH, вам не стоит заполнять текущее поле, а нужно лишь установить флажок на опции <strong>PATH</strong>, который расположен справа от данного текстового поля. В поле <strong>Значение</strong> укажите значение для редактируемой вами переменной среды. Стоит обратить внимание на то, что если именем переменной среды служит PATH, то вам нужно будет указать список путей к папкам через точку с запятой. Если вы не знаете, как называется определенная переменная, вы можете выбрать требуемую переменную из списка. Для этого в поле <strong>Имя</strong> нажмите на клавишу <strong>F3</strong> и в отобразившемся диалоговом окне <strong>Выберите переменную</strong>, выберите нужную для вас переменную и нажмите на кнопку <strong>Выбрать</strong>, как показано на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-11.JPG alt=* width=401 height=517/></p><p><strong>Рис. 2. Диалоговое окно выбора переменной</strong></p><p>Укажите в поле <strong>Имя</strong> значение <strong>VARENV</strong>, а в поле <strong>Значение</strong> значение <strong>%systemroot\VARENV%</strong>, как показано на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-02.jpg alt=* width=404 height=448/></p><p><strong>Рис. 3. Вкладка Общие предпочитаемой групповой политики</strong></p><li>Перейдите на вкладку <strong>Общие параметры</strong>. Вкладка <strong>Общие параметры</strong> содержит параметры, позволяющие управлять использующим при обработке пользовательских настроек контекстом безопасности, областью предпочтений, а также фильтрами предпочтений совместно с фильтрацией групповой политики. На этой вкладке диалогового окна свойств параметра предпочтения групповой политики вы можете выбрать любое из следующих пяти параметров:</li><ul><li><strong>Остановить обработку элементов в этом расширении при возникновении ошибки</strong>. В связи с тем, что для каждого расширения клиентской стороны предпочтения групповой политики могут быть созданы несколько элементов предпочтений и, по умолчанию, в том случае, когда при обработке элемента предпочтения в конкретном объекте GPO происходит сбой, все остальные элементы предпочтений в текущем расширении продолжат выполняться. В том случае, если вам нужно, чтобы при сбое элемента в текущем расширении полностью останавливалась обработка остальных элементов предпочтений, следует установить текущий флажок;</li><li><strong>Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя)</strong>. Предпочтение групповой политики пользователя может обрабатываться в двух контекстах безопасности: учетной записи System и учетных данных пользователя, который на данный момент выполнил вход в систему. По умолчанию предпочитаемая групповая политика пользователя обрабатывается в контексте безопасности учетной записи System, что существенно ограничивает системные ресурсы и переменные среды. Но при выборе данной опции вы можете разрешить предпочтениям групповой политики получать доступ к системным ресурсам в качестве выполнившего вход в систему пользователя, что имеет существенное значение для предпочтений, запрещающих приложениям доступ к ресурсам;</li><li><strong>Удалить элемент, когда он более не применяется</strong>. Как, возможно, многим из вас известно, предпочитаемые групповые политики включают в себя неуправляемые параметры политики, то есть, после развертывания таких политик, вы позволяете пользователям изменять их настройки, а также, если пользователь или компьютер перемещается в другое подразделение, где на него больше не будут распространяться настройки определенного объекта GPO, настройки элементов предпочтения не будут удалены. При помощи данной опции, вы можете изменить такие настройки. Другими словами, если учетная запись пользователя или компьютера, к которой применяются параметры предпочтений групповых политик, перемещается и находится вне области распространения объекта GPO, расширение CSE предпочтений групповой политики удаляет параметры, сгенерированные текущим элементом. Следует обратить внимание на то, что если для элемента предпочтения было выбрано действие <strong>Заменить</strong>, то в том случае, когда элемент предпочтения будет находиться вне области действия, элемент будет удален без последующего создания параметра, но если вами установлено действие Удалить, то на текущей вкладке данная опция будет отсутствовать;</li><li><strong>Применить один раз и не применять повторно</strong>. Так же как и параметры групповой политики, элементы предпочтений перезаписываются при каждом обновлении групповой политики, то есть, по умолчанию, каждые 90 - 120 минут. Но если вам не нужно повторное применение элемента предпочтения, вы можете выбрать текущую опцию;</li><li><strong>Нацеливание на уровень элемента</strong>. У параметров групповой политики есть существенный недостаток - внутри самого объекта групповой политики нельзя обеспечить гибкую фильтрацию для отдельных параметров групповой политики, то есть, для обеспечения такого требования вам нужно будет создавать для каждого параметра групповой политики отдельный объект GPO, а затем применять к ним фильтрацию WMI. Согласитесь, если вы применяете десятки, а то и сотни параметров групповой политики, это не очень удобно. Элементы предпочтений предпочитаемой групповой политики обеспечивают гибкую фильтрацию, называемую нацеливанием на уровень элемента. В рамках данной статьи не будет подробно рассматриваться функционал нацеливания на уровень элемента, а будет рассмотрено лишь несколько определений элементов.</li></ul><p>Так как для настройки переменной среды требуется получать доступ к переменным средам в качестве выполнившего вход в систему пользователя, то следует установить флажок на опции <strong>Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя)</strong>, а также установить флажок <strong>Нацеливание на уровень элемента</strong> для определения гибкой фильтрации, как показано на следующей иллюстрации:</p><br/><p><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-03.jpg alt=* width=404 height=448/></p><p><strong>Рис. 4. Вкладка Общие параметры предпочтения групповой политики</strong></p><li>Нажмите на кнопку <strong>Нацеливание</strong>. В этом примере установим фильтры, нацеленные на уровень элемента, в которых будет указано, что операционная система целевого объекта, на который распространяется элемент предпочтения, должна быть <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, а также элемент предпочтения должен применяться только к компьютерам в конкретном диапазоне IP-адресов. В отобразившемся диалоговом окне <strong>Редактор нацеливания</strong> нажмите на кнопку <strong>Создать элемент</strong> и, из раскрывающегося меню, выберите опцию <strong>Операционная система</strong>. В соответствующих раскрывающихся меню укажите продукт <strong>Windows 7</strong>, выпуск <strong>Ultimate</strong>. После этого еще раз нажмите на кнопку <strong>Создать элемент</strong>, из списка выберите опцию <strong>Диапазон IP-адресов</strong>, и укажите необходимый диапазон адресов, к которым будет применяться элемент предпочтения. Так как нам необходимо, чтобы каждое определение элемента сочеталось с предыдущим, обратите внимание на то, чтобы параметром второго элемента выступала логическая операция <strong>И</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110412061534/gppref1-04.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-04_mini_oszone.jpg alt=* width=480 height=326/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Редактор нацеливания</strong></p><li>Нажмите на кнопку <strong>ОК</strong> в диалоговом окне редактора нацеливания, после чего нажмите на кнопку <strong>ОК</strong> в диалоговом окне свойств создаваемого вами элемента предпочтения;</li><li>В редакторе управления групповыми политиками, из узла <strong>Среда</strong> конфигурации пользователя, создайте новый элемент предпочтения переменной среды, где будут указаны настройки, предназначенные для изменения расположения папки TEMP. Здесь, на вкладке <strong>Общие</strong>, выберите действие <strong>Заменить</strong>, установите переключатель на опции пользовательской переменной, укажите имя <strong>TEMP</strong>, а в поле значения задайте следующий путь: <strong>%systemroot%\TEMP</strong>. На вкладке общих параметров установите флажки на опциях <strong>Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя)</strong> и <strong>Нацеливание на уровень элемента</strong>. В редакторе нацеливания создайте такой же элемент <strong>Операционная система</strong>, как было сделано в шаге 5. Сохраните новый элемент предпочтения. После создания элементов предпочтения, узел <strong>Среда</strong> редактора управления групповыми политиками должен выглядеть следующим образом:</li><br/><p><a href=http://www.oszone.net/figs/u/72715/110412061534/gppref1-05.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-05_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Узел Среда редактора управления групповыми политиками</strong></p><li>После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку <strong>Редактор управления групповой политики</strong>. Теперь осталось связать созданный объект групповой политики с подразделением, содержащим учетные записи мобильных компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки <strong>Управление групповой политикой</strong> выберите подразделение, содержащее учетные записи компьютеров ваших пользователей, например, в моем случае, это подразделение <strong>Пользователи</strong>. Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите данный объект групповой политики и нажмите на кнопку <strong>ОК</strong>.</li></ol><p>В результате, у пользователя, входящего в подразделение <strong>Пользователи</strong> под операционной системой Windows 7 будут изменены пользовательские переменные среды, как показано на следующей иллюстрации:</p><p><img src=http://www.oszone.net/figs/u/72715/110412061534/gppref1-06.JPG alt=* width=395 height=435/></p><p><strong>Рис. 7. Диалоговое окно Переменные среды на пользовательском компьютере</strong></p><h2>Заключение</h2><br><p>В этой статье было рассмотрено расширение клиентской стороны предпочтений групповой политики переменной среды. Подробным образом был рассмотрен процесс создания элементов предпочтения, где были описаны опции, предназначенные для настройки создаваемого элемента. Также вкратце была рассмотрена фильтрация нацеливания на уровень элемента, обеспечивающая гибкую фильтрацию элемента предпочтения предпочитаемой групповой политики. В следующей статье будут рассмотрены элементы предпочтений файлов и папок.</p> http://www.microsoft.com/rus/business/smb/blog/88/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 2 - 1</p><p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/S5sW-ACIGKE frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/87/ Microsoft for Business <p>Продолжение. Начало см. <a href=http://www.microsoft.com/rus/business/smb/blog/84/>здесь</a>.</p><p>Из предыдущих трех частей настоящего цикла статей, вы могли ознакомиться со структурой компонентов, на которых основывается технология групповой политики. В первой статье вы познакомились с самой архитектурой механизма групповой политики, а именно вы узнали о том, что такое модуль групповой политики, который считается основой для обработки общих функциональных параметров административных шаблонов и расширений клиентской стороны групповой политики. Помимо этого, в первой части был рассмотрен контейнер групповой политики - логический компонент, который хранит информацию о настройках объектов групповой политики в доменных службах Active Directory. Во второй части рассказывалось о принципе работы результирующей политики в режимах журналирования и планирования, а также вкратце были рассмотрены расширения клиентской стороны групповой политики. В третьей части статьи рассматривалось первое расширение клиентской стороны <strong>Установка программ</strong>, предназначенное для развертывания программного обеспечения средствами GPO. В этой статье будут рассмотрены компоненты и принцип обработки очередного расширения клиентской стороны, расширения <strong>Параметры безопасности</strong>.</p><p>В любой организации задачи по обеспечению безопасности должны быть наиболее приоритетными, так как именно защищенность инфраструктуры вашего бизнеса будет влиять на успех компании на рынке и в целом. Именно безопасность можно назвать изначальной областью задач администратора, так как задачи по обеспечению безопасности должны быть связаны напрямую с управлением рабочими станциями и серверами компании. В свою очередь, параметрами безопасности называется набор параметров, которые регулируют безопасность и управляются при помощи объектов групповой политики. Инфраструктура групповой политики операционной системы Windows Server 2008 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> включает в себя свыше сотни параметров, предназначенных для обеспечения безопасности организации. Эти параметры являются расширениями клиентской стороны, которые включены в локальный объект групповой политики, настраиваемый при помощи оснастки <strong>Редактор управления групповой политикой</strong> как на контроллерах домена, так и на компьютерах, которые входят в рабочую группу. К таким параметрам можно отнести политики, предназначенные для управления учетными записями пользователей, политики аудита, журнала событий, системного реестра, служб Windows, политики проводной и беспроводной сети и многое другое. Большинство возможностей параметров безопасности уже рассматривались в моих статьях по технологии групповой политики, но, тем не менее, ни в одной из своих статей я не упоминал о компонентах, отвечающих за параметры безопасности, а также о том, как параметры безопасности взаимодействуют с компьютерами, на которые будут распространяться объекты групповой политики.</p><h2>Архитектура параметров безопасности</h2><br /><p>Прежде всего, следует рассмотреть компоненты операционной системы Windows, которые имеют отношение к параметрам безопасности и взаимодействуют с инструментами, предназначенными для управления групповыми политиками. По сути, таких компонентов не так уж и много. Одним из основных компонентов является библиотека Scesrv.dll, которая располагается в процессе Servicecs.exe, выполняемого в контексте локальной системы и предназначена для обеспечения функциональности механизма безопасности. К таким функциям можно отнести настройку, распространение, импорт, а также анализ. Сам процесс анализа параметров безопасности, распространяемых на пользователей или компьютеры, выполняется путем вызова интерфейса программирования приложений API совместно с системным реестром, LSA и SAM. Если рассматривать контроллеры домена, то на них библиотека Scesrv.dll получает уведомления об изменениях, которые должны распространяться между контроллерами домена, указанных SAM и LSA.</p><p>Так как библиотека Scesrv.dll отвечает за ядро механизма обеспечения функциональности параметров безопасности, распространяемых средствами групповой политики, за интерфейс всего этого механизма должна отвечать еще какая-то библиотека. Библиотека Scecli.dll предоставляет механизму параметров безопасности пользовательский интерфейс, а также принимает участие в генерировании отчетов результирующей групповой политики. Для загрузки применяемых файлов групповой политики с параметрами безопасности, распространяемыми на клиентские компьютеры из папки Sysvol, библиотека Scrsrv.dll использует библиотеку Scecli.dll. В свою очередь, для отображения пользовательского интерфейса в оснастках MMC, данная библиотека загружается в Wsecedit.dll для установки параметров безопасности, установленных по умолчанию, включая настройки безопасности системного реестра, служб, настроек *.INF-файлов и многого другого. Помимо этого, для реализации настроек параметров безопасности и последующего анализа, утилита командной строки Secedit.dll также во время своей работы использует библиотеку Scrcli.dll.</p><p>Кроме этих двух библиотек, принимающих ключевую роль в расширении клиентской стороны параметров безопасности также можно выделить такие компоненты, как:</p><ul><li><strong>Библиотеку Wsecedit.dll</strong>, которая представляет собой расширение оснастки редактора управления групповой политикой Параметры безопасности и используется для настройки параметров безопасности в самом объекте групповой политики;</li><li><strong>Пользовательские базы данных</strong>, представляющие собой любой тип баз данных, отличных от системных баз данных, созданных системным администратором для настройки и анализа параметров безопасности;</li><li><strong>Secedit.sdb</strong>. Файл, который находится в папке %%Windir\Security\database, представляющий собой постоянную базу данных, применяемую для распространения политики;</li><li><strong>Шаблоны *.INF</strong>, которые представляют собой текстовые файлы, содержащие декларативные параметры безопасности, загружаемые в базу данных и хранящиеся в INF-файлах в папке Sysvol на контроллерах домена.</li></ul><p>Схема компонентов параметров безопасности выглядит следующим образом:</p><p><a href=http://www.oszone.net/figs/u/72715/110720123430/arch-gpo4-2.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110720123430/arch-gpo4-2_mini_oszone.JPG alt=* width=480 height=367/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Компоненты параметров безопасности групповой политики</strong></p><h2>Процесс распространения параметров безопасности</h2><br /><p>Принцип распространения объектов групповых политик с параметрами безопасности на пользователей и компьютеры ничем не отличается от распространения объектов GPO с административными шаблонами. Другими словами, во время загрузки операционной системы сначала запускается сеть, а вместе с сетью запускаются служба удаленного вызова процедур (RPCSS) и поставщик множественных UNC (MUP). После этого компьютер получает список объектов групповой политики, которые должны применяться к учетной записи компьютера, в зависимости от того, входит ли пользователь в домен Active Directory, а также от расположения учетной записи компьютера в домене. Далее применяются параметры групповой политики, настраиваемые в узле <strong>Конфигурация компьютера</strong> оснастки <strong>Редактор управления групповой политики</strong>. Следующими обрабатываются сценарии запуска, причем, каждый сценарий выполняется последовательно. После выполнения сценариев запуска пользователь видит на экране текст с предложением воспользоваться комбинацией Ctrl+Alt+Delete для выполнения входа в систему. Затем, после успешной проверки подлинности, загружается пользовательский профиль, во время чего применяются параметры групповой политики, связанные с учетной записью пользователя. В этот момент применяются политики пользователя, сценарии входа в систему. И уже после того, как все параметры групповой политики будут применены к компьютеру и пользователю, для пользователя станет доступен дружественный интерфейс операционной системы. На протяжении всего этого процесса, параметры безопасности, указанные в объектах групповой политики распространяются следующим образом:</p><p><a href=http://www.oszone.net/figs/u/72715/110720123430/arch-gpo4-3.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110720123430/arch-gpo4-3_mini_oszone.JPG alt=* width=480 height=221/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Процесс распространения групповой политики с настроенными параметрами безопасности</strong></p><p>Рассмотрим процесс, отображенный на иллюстрации более подробно:</p><ol><li>Во время обработки объектов групповой политики, механизм групповой политики определяет применяемые параметры безопасности;</li><li>В том случае, если в объекте групповой политики присутствуют настроенные параметры безопасности, групповая политика вызывает б иблиотеку Scecli.dll с расширением клиентской стороны параметро<wbr/><wbr/>в безопасности;</li><li>Расширение CSE параметров безопасности вместе с динамической библиотекой Scecli.dll загружает политику из определенного расположения в домене Active Directory;</li><li>В соответствии с приоритетами объектов групповой политики, расширение клиентской стороны параметров безопасности объединяет все параметры политики и обрабатывает их в известном вам порядке: локальные объекты групповой политики, объекты групповой политики, назначенные на уровне сайта, затем на уровне домена и, в конце-концов, на уровне подразделения. Если с подразделением, в которое входит пользователь или компьютер распространяются несколько объектов групповой политики с настроенными параметрами безопасности и настройки параметров безопасности одного объекта не противоречат настройкам остальных, в таком случае все параметры политики считаются накопительными и объединяются при обработке. Если же настройки параметров безопасности одного объекта групповой политики противоречат настройкам другого, то к пользователю или к компьютеру будут применяться те настройки, объект групповой политики которых обладает наивысшим приоритетом. Например, в объекте GPO 1 установлена минимальная длина пароля 8 символов, а в объекте GPO 2, значением того же параметра является 12 символов и объект GPO 2 обладает высшим приоритетом для подразделения, в которое входит учетная запись компьютера, на котором пользователь выполняет вход, то минимальная длина пароля пользователя будет составлять 12 символов;</li><li>Результат настроек параметров безопасности динамическая библиотека обеспечения основной функциональности механизма безопасности Scesrv.dll сохраняет в базе данных secedit.sdb;</li><li>После всего указанного выше, библиотека Scesrv,dll применяет параметры безопасности к компьютерам.</li></ol><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/86/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 1 - 2</p><p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/cU39t2fJkDE frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/85/ Microsoft for Business <p>Продолжение. Начало см. <a href=http://www.microsoft.com/rus/business/smb/blog/82/>здесь</a></p><h2>Расширение клиентской стороны Установка программ</h2><br><p>Первое расширение клиентской стороны, компоненты которого будут подробно рассмотрены, называется <strong>Установка программ</strong> или Group Policy Software Installation, GPSI. Несмотря на то, что для автоматизации установки программного обеспечения в организациях обычно используют такие продукты, как Microsoft <a href=http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx target=_blank title=Узнайте больше о System Center Configuration Manager>System Center Configuration Manager</a> или Microsoft <a href=http://technet.microsoft.com/ru-ru/systemcenter/essentials/default.aspx target=_blank title=Узнайте больше о System Center Essentials>System Center Essentials</a>, которые обеспечивают множество средств для мониторинга использования программного обеспечения и системы инвентаризации, программное обеспечение можно развертывать и при помощи групповой политики, используя узел <strong>Установка программ</strong>. Используя это расширение клиентской стороны, вы можете устанавливать, обновлять, поддерживать и удалять программное обеспечение на клиентских компьютерах и для определенных пользователей, независимо от компьютера, на котором они входят в сеть без какого-либо участия команды технической поддержки. После того как вы настроите объект групповой политики с использованием CSE <strong>Установка программ</strong>, новый программный пакет будет проинсталлирован при следующей загрузке компьютера или входе пользователя в сеть. Для распространения программного обеспечения, расширение клиентской стороны использует технологию <strong>Установщик Windows</strong>, который управляет программным обеспечением с помощью информации, содержащейся в пакете установщика Windows, и содержит информацию, необходимую для восстановления отказанного приложения. Пакеты установщика настраиваются при помощи файлов трансформации (*.mst-файлов), файлов исправлений (*.msp-файлов), а также низкоуровневых пакетов приложений *.zap, указывающих расположение точек распространения программного обеспечения.</p><p>Архитектура компонентов расширения клиентской стороны установки программ выглядит следующим образом. Системный администратор создает пакет установщика Windows для приложения, которое следует распространить на пользователей или их компьютеры. Далее ему предстоит создать точку распространения программного обеспечения (Software Distribution Point, SDP), представляющую собой общую папку, из которой позже пользователи и компьютеры будут устанавливать соответствующее программное обеспечение. Желательно, чтобы на этапе планирования точек SDP для каждого приложения была создана своя собственная папка. Для таких папок должно быть установлено NTFS разрешение на чтение и выполнение, так как в противном случае у пользователей не удастся установить приложения. После этого, администратор, на своей рабочей машине, используя оснастки <strong>Управления групповой политикой</strong> и <strong>Редактор управления групповой политикой</strong> создает объект групповой политики, предназначенный для распространения пакета приложения на пользователей или компьютеры, и связывает данный объект GPO с конкретным подразделением.</p><p>При помощи расширения CSE <strong>Установка программ</strong> вы можете распространять программное обеспечение на ваших клиентов двумя способами, а именно путем публикации приложения только для пользователей, или при помощи назначения приложения пользователям и компьютерам, разница между которыми вкратце описана ниже:</p><ul><li><strong>Публикация приложения</strong>. Прежде всего, необходимо помнить о том, что приложение может быть опубликовано только для пользователя. После того как вы опубликуете программное обеспечение, его ярлык не будет отображаться на рабочем столе или в меню <strong>Пуск</strong>, однако, это приложение можно найти и установить в компоненте панели управления <strong>Программы и компоненты</strong>. Помимо этого, опубликованное приложение может быть установлено при попытке открытия файла, ассоциированного с текущим приложением. После развертывания объекта групповой политики, опубликованное программное обеспечение можно будет установить при следующем входе пользователя в систему и пользователь, для которого будет установлено ПО может, при необходимости, его удалить при помощи <strong>Программы и компоненты</strong>. Для публикации приложений поддерживаются файлы *.msi и *.zap;</li><li><strong>Назначение приложения</strong>. В отличие от публикации приложения, назначать приложение можно как пользователям, так и компьютерам. Также, после назначения приложения, у пользователя обновляются некоторые локальные параметры реестра, благодаря чему он сможет найти ярлыки для назначенных приложений в меню <strong>Пуск</strong> и на рабочем столе, причем, ярлык на рабочем столе будет отображен, независимо от того, с какого компьютера выполнялся вход в систему. При назначении программы пользователю, программное обеспечение будет установлено при следующем входе в систему или при открытии файла, ассоциированного с текущим приложением, а при назначении приложения компьютеру, установка программного обеспечения начнется во время следующей загрузки компьютера. В том случае, если пользователю нужно будет удалить назначенное приложение, он сможет это сделать только в том случае, если приложение было назначено для пользователя, причем, после его удаления, программу снова можно будет найти на рабочем столе или в меню Пуск. Для назначения приложений используются файлы *.msi.</li></ul><p>В следующих небольших разделах мы рассмотрим подробнее, как же происходит процесс публикации и назначения приложений.</p><h2>Процесс публикации программного обеспечения</h2><br><p>Расширение клиентской стороны установки программ извлекает всю информацию о пакете, включая имя приложения, путь для установки, сведения об ассоциации файлов, идентификаторы класса и прочее, изменяет его и сохраняет в своей папке, продублировав в папке Sysvol на контроллере домена. Как уже отмечалось ранее, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем, оба пакета установки обрабатываются по-разному. Например, файл пакета установки программного обеспечения содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба <strong>Установщик Windows</strong>, использующая для чтения файлов *.msi библиотеку Msi.dll. Соответственно, на основании объявленной в инсталляционном пакете информации, данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего, вся информация, указанная в инсталляционном msi-файле задается разработчиком устанавливаемого программного продукта. Так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать *.zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения. После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение CSE смогло выполнить инструкции по установке, после публикации которого, приложение появится в компоненте панели управления <strong>Программы и компоненты</strong> и пользователи смогут его установить. Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.</p><p>Информация, которая объявляется в пакете инсталлятора, необходима для того, чтобы в домене Active Directory создался объект пакета публикации в контейнере ClassStore. В самом объекте групповой политики, пакет размещается в подконтейнере GUID\User\Class Store\Packages, где инсталляционному пакету назначается новый GUID и каноническое имя CN. После этого расширение CSE установки программ в папке Sysvol создает специальный сценарий для объявления приложения с именем объекта публикуемого приложения PackageRegistration и расширением *.aas, который размещается в GUID\User\Applications объекта GPO. Так как в публикуемых приложениях нет ярлыков на рабочем столе и в меню <strong>Пуск</strong>, эта информация исключается из текущего файла. В связи с тем, что при обработке групповой политики опубликованные приложения на клиентском компьютере не вызывают каких-либо изменений, а конечному пользователю нужно будет установить соответствующее приложение из компонента <strong>Программы и компоненты</strong>, из Sysvol и Active Directory не загружается никакая информация. Другой процесс установки опубликованного приложения считается более сложным. В случае, когда пользователь открывает файл с расширением, которое ассоциируется с опубликованным приложением, в этот момент расширение клиентской стороны GPSI ищет в Active Directory объект PackageRegistration, который ассоциируется с текущим расширением или проверяется CLSID, сгенерированным при помощи обработанного объекта групповой политики для пользователя. Если находится хотя бы один *.aas-файл, то такой сценарий загружается на клиентский компьютер и выполняется для последующей установки. На следующей иллюстрации отображен процесс публикации приложения:</p><p><a href=http://www.oszone.net/figs/u/72715/110427103830/arch-gpo-04.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110427103830/arch-gpo-04_mini_oszone.jpg alt=* width=480 height=484/><br/>Увеличить рисунок</a></p><br/><h2>Процесс назначения программного обеспечения</h2><br><p>Как вы знаете, основным отличием данного метода развертывания приложений средствами GPO от публикации является то, что при назначении приложение полностью устанавливается в том случае, если приложение назначается для компьютера, а в случае назначения для пользователя, пользователю будут <a>доступны</a> ярлыки на рабочем столе и в меню <strong>Пуск</strong>. Причем, обязательно стоит обратить внимание на то, что установка назначенного программного обеспечения обрабатывается модулем групповой политики только во время загрузки компьютера или при входе пользователя в систему. Принцип создания назначенного инсталляционного пакета практически ничем не отличается от создания опубликованного пакета за исключением того, что в объекте PackageRegistration свойство атрибута PackageFlags указывается как Assigned (назначение), а не Publication (публикация). Во время обработки объекта групповой политики расширение клиентской стороны <strong>Установка программ</strong> в Active Directory запрашивает в объекте PackageRegistration папку с размещенным назначенным инсталлятором и определяет, какие инсталляторы были изменены или добавлены после предыдущей обработки групповой политики. Все пакеты, которые обнаруживает CSE, сравниваются с загруженными локально на клиентский компьютер. После чего новые пакеты регистрируются в системном реестре, из папки Sysvol вычитываются файлы *.aas, а затем кэшируются в папке %systemroot%\appmgmt и обрабатываются только новые или измененные инсталляционные пакеты. На следующей иллюстрации вы можете увидеть процесс установки назначенных приложений:</p><p><a href=http://www.oszone.net/figs/u/72715/110427103830/arch-gpo-05.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110427103830/arch-gpo-05_mini_oszone.jpg alt=* width=480 height=435/><br/>Увеличить рисунок</a></p><br/><h2>Планирование установки программного обеспечения</h2><br><p>Несмотря на то, что на первый взгляд с данным расширением клиентской стороны групповой политики, кажется все очень просто и прозрачно, крайне важно тщательно спланировать процесс распространения программного обеспечения на ваших клиентов. На этом этапе очень важно четко понимать разницу между публикацией и назначением приложений, о чем уже было много сказано в предыдущих разделах. Еще раз напомню, при назначении приложения компьютеру или пользователю программное обеспечение устанавливается автоматически при следующей загрузке компьютера или входе пользователя в систему, а при публикации пользователю нужно будет установить приложение самостоятельно. Тут можно руководствоваться такими стандартными сценариями:</p><ul><li>В том случае, если компьютеры в вашей организации являются общедоступными и всем пользователям необходим одинаковый набор программных продуктов, то целесообразно устанавливать их путем назначения для компьютеров. Соответственно, приложения при следующей загрузке компьютеров устанавливаются на компьютеры пользователей;</li><li>В том случае, если какое-то конкретное приложение нужно для работы только нескольким пользователям в компании, то оптимальным вариантом будет публикация приложений для таких пользователей. При следующем входе в систему эти пользователи смогут или самостоятельно установить программу из компонента панели управления <strong>Программы и компоненты</strong> или приложение установится автоматически при открытии файла, расширение которого ассоциировано с таким приложением;</li><li>В том случае, если приложение необходимо установить пользователям из разных подразделений, стоит его назначать для того подразделения, в которое будут входить все эти пользователи;</li><li>В том случае, если в вашей организации используются приложения, которые обновляются очень часто вместе с теми, на которые практически не выпускаются обновления, лучше всего для этого создать как минимум два объекта GPO. В одном таком объекте GPO будут размещены приложения, которые редко обновляются, а во втором - те приложения, обновления на которые выходят чаще.</li></ul><p>Также не стоит распространять все программные продукты при помощи одного объекта групповой политики, так как в результате применения такого объекта GPO, несмотря на то, что задержка перед входом в систему клиентского компьютера может значительно уменьшится (в отличие от использования отдельного объекта групповой политики для каждого приложения), размер и конфигурация объекта групповой политики увеличится в несколько раз. После того как вы спланируете структуру ваших объектов GPO, перед тем как распространять приложения пользователям, обязательно протестируйте их применение в лабораторной среде, что позволит вам облегчить свою работу при последующей поддержке ваших пользователей.</p><p>Несмотря на все преимущества распространения программного обеспечения средствами групповой политики можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенного функционала, который может понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center <a href=http://technet.microsoft.com/ru-ru/systemcenter/cm/default.aspx target=_blank title=Узнайте больше о System Center Configuration Manager>Configuration Manager</a>.</p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/84/ Microsoft for Business <p>Управление групповыми политиками в организации. Часть 1 - 1</p> <p align=center><iframe width=560 height=345 src=http://www.youtube.com/embed/lLw6ipd83EE frameborder=0 allowfullscreen></iframe></p> http://www.microsoft.com/rus/business/smb/blog/83/ Microsoft for Business <p>Продолжение. Начало см. <a href=http://www.microsoft.com/rus/business/smb/blog/78/>здесь</a>.</p><h2>Архитектура результирующей групповой политики</h2><br><p>Многие из вас уже не раз пользовались возможностями результирующей групповой политики (RSoP) и знают о том, что данная возможность обеспечивает удаленный метод определения применения объектов групповой политики к пользователю или компьютеру с учетом блокирования наследования, всех связей, включая принудительные, а также фильтры безопасности и фильтрации WMI. Также, ни для кого не окажется секретом, что результирующая политика может работать в двух режимах: режиме журналирования (также называемым режимом протоколирования или входа) и режиме планирования. <strong>Режим журналирования</strong> позволяет вам работать с отчетом по результатам применения параметров групповой политики к существующему пользователю или компьютеру. Этот режим доступен для любой операционной системы Windows, начиная с <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. В свою очередь, <strong>режим планирования</strong> позволяет имитировать результаты политики, основываясь на анализе что-если, которые могут быть применены в будущем к конкретному пользователю или компьютеру на основании указанных вами переменных. Данный режим целесообразно применять в том случае, если планируете переместить пользователя или компьютер между сайтами, доменами или подразделениями, а также в том случае, если у пользователя будет изменена группа безопасности, под область которой попадает целевой объект Active Directory. Оба режима результирующей политики интерпретируются при помощи оснастки <strong>Управление групповой политики</strong>, причем, режим журналирования реализуется при помощи результатов групповой политики, а режим планирования - средствами моделирования групповой политики.</p><p>Для того чтобы определить параметры групповой политики, распространяемые на целевого пользователя или компьютер, результирующая политика во время своей работы использует инструментарий управления Windows (WMI). Поставщик WMI позволяет создавать отчеты по заданным в мастере результирующей политики параметрам, а также определяет, когда именно выполнялась обработка объекта групповой политики, какие параметры были применены, какие ошибки возникли в процессе применение и так далее. Для выполнения сбора информации, как на контроллере домена, так и на клиентском компьютере должна быть запущена служба <strong>Инструментарий управления Windows</strong> (Winmgmt.exe), при помощи которой информация иерархии WMI моделируется как иерархия стандартов объектов общей модели данных (Common Information Model, CIM). Такая иерархия является расширением, позволяющим разным службам и приложениям предоставлять поставщику WMI информацию о конфигурации. Вся информация, которая собирается поставщиком, сохраняется в базе данных WMI на локальном компьютере, также известном, как база данных CIMOM. Так как сгенерированные поставщиком WMI данные могут быть динамическими и статическими, а, в свою очередь, статические данные хранятся в базе CIMOM для того, чтобы они могли быть извлечены в любое время, при выполнении запросов результирующей политики генерируются статические данные WMI. При помощи запросов результирующей групповой политики в базу данных WMI на контроллере домена сохраняется информация о политиках целевого компьютера, после чего вся эта информация отображается в оснастке <strong>Управление групповой политикой</strong>. Также при обработке результирующей политики стоит обратить внимание на работу поставщика результирующего набора политики. Работу <strong>поставщика результирующего набора групповой политики</strong> можно проанализировать на примере режима планирования результирующей политики. В этом режиме, для генерации отчета результирующей политики даже не нужно присутствие в сети самого клиентского компьютера, так как информация рассчитывается на основании существующих объектов групповой политики, которые будут применяться к текущему объекту. В этом случае, на контроллере домена, поставщик результирующего набора политики выполняет определенные функции клиентской операционной системы, требуемые для применения объектов GPO. Данный поставщик при обработке режима планирования результирующей групповой политики использует три следующих параметра:</p><p><strong>Область управления (Scope of management, SOM)</strong>, которая является сочетанием объектов пользователя и компьютера;</p><p><strong>WMI фильтр</strong>, который может применяться к целевому объекту во время генерирования отчета результирующей политики;</p><p><strong>Членство в группах безопасности объектов компьютеров и пользователей</strong>, определяющее реальные группы безопасности, членами которых являются целевой пользователь или компьютер.</p><p>Помимо всего указанного выше, следует также обратить внимание на то, что для успешного генерирования отчета результирующей групповой политики, должны быть соблюдены следующие обязательные условия:</p><ul><li>На целевом компьютере должна быть установлена операционная система не ниже Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a>;</li><li>У учетной записи, которая генерирует отчет RSoP на конечном компьютере, должны быть привилегии администратора;</li><li>На обоих компьютерах должна быть запущена служба <strong>Инструментарий управления Windows</strong>;</li><li>Для того чтобы иметь доступ к WMI, на конечном компьютере должны быть открыты порты 135 и 445;</li><li>В том случае, если генерируется отчет RSoP для определенного пользователя, этот пользователь должен как минимум один раз выполнить вход в домен под своей учетной записью.</li></ul><p>Принципы работы результирующей политики в режиме журналирования и планирования отображены на следующей иллюстрации:</p><p><a href=http://www.oszone.net/figs/u/72715/110329114738/arch-gpo2-01.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110329114738/arch-gpo2-01_mini_oszone.JPG alt=* width=480 height=315/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Схема работы результирующей групповой политики в режимах журналирования и планирования</strong></p><p>Исходя из предоставленной выше иллюстрации, режим журналирования результирующей групповой политики работает следующим образом:</p><ol><li>Во время выполнения пользователем входа в домен, процесс Gpsvc при использовании контекста безопасности пользователя или компьютера получает список объектов групповой политики из домена Active Directory, которые распространяются на этот объект;</li><li>Процесс Gpsvc последовательно сохраняет в базу данных WMI экземпляры расширений клиентской стороны объектов групповой политики;</li><li>Список зарегистрированных расширений групповой политики извлекается из базы данных и на конечный компьютер выводится подробный отчет в динамическом формате HTML, после чего в самой консоли отображается динамическое содержимое отчета результирующей групповой политики.</li></ol><p>В свою очередь, при выполнении результирующей групповой политики в режиме планирования, поставщик результирующего набора политики выполняет следующие действия:</p><ol><li>При помощи мастера утилита результирующей групповой политики, RSoP моделирует применение политики с помощью службы групповой политики доступа к каталогу (GPDAS) и извлекает из контроллера домена имя пользователя или компьютера и подключается к базе данных WMI;</li><li>Служба WMI на том же компьютере, на котором генерируется отчет результирующей политики вызывает поставщика WMI, а затем получает список объектов групповой политики, которые распространяются на определенного пользователя или компьютер в Active Directory;</li><li>База данных WMI заполняется экземплярами объектов групповой политики для определенного пользователя или компьютера;</li><li>После чего извлекается список зарегистрированных расширений клиентской стороны, где каждое расширение загружается последовательно. После того как данные были занесены в базу данных, поставщик результирующего набора групповой политики возвращает список имен и передает их инструменту результирующей политики;</li><li>Результирующая политика подключается к пространству имен базы данных WMI на контроллере домена и при помощи API интерфейса WMI получает данные о групповой политике. На конечный компьютер выводится подробный отчет в динамическом формате HTML, после чего в самой консоли отображается динамическое содержимое отчета результирующей групповой политики.</li></ol><br/><h2>Расширения клиентской стороны CSE</h2><br><p>Как вы уже поняли из всего вышеизложенного, каждая группа параметров групповой политики обслуживается определенным расширением клиентской стороны (Client-side Extension, CSE), установленном и зарегистрированном в процессе установки операционной системы Windows. По сути, расширений клиентской стороны можно разделить на логические категории, соответствующие определенным узлам, расположенным в дереве консоли оснастки <strong>Редактор управления групповой политикой</strong>. Сами расширения CSE состоят из динамически подключаемых библиотек, вызываемых при помощи модуля групповой политики, который для определения параметров групповой политики, применяемых к целевому компьютеру или пользователю, использует информацию шаблона групповой политики из контейнера групповой политики. Соответственно, расширения клиентской стороны применяются на целевой компьютер только в том случае, если изменены соответствующие параметры групповой политики. Физически, все библиотеки DLL, отвечающие за расширения клиентской стороны можно найти в папке %windir%\System32, однако, если какое-то определенное расширение CSE было написано сторонним производителем, оно может храниться в расположении отличном от расположения CSE по умолчанию. Несмотря на то, что большинство параметров групповой политики применяются так, чтобы ни пользователь, ни администратор клиентского компьютера не могли изменить соответствующий системный параметр при помощи графического интерфейса, некоторые параметры, управляемые расширениями CSE все-таки можно изменить. Стоит обратить внимание на то, что все библиотеки DLL для каждого расширения клиентской стороны регистрируются в операционной системе и просмотреть список расширений CSE можно при помощи редактора системного реестра в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions.</p><p>Как вы уже, наверное, догадались, судя по информации из раздела, посвященного контейнеру групповой политики, к каждому расширению клиентской стороны привязывается идентификатор GUID, включающий в себя набор определенных атрибутов, позволяющих указать разные параметры конфигурации обработки групповой политики. В контейнере GPC вы могли увидеть эти идентификаторы в атрибутах <strong>gPCMachineExtensionNames</strong> и <strong>gPCUserExtensionNames</strong>. Находясь в разделе идентификатора GUID определенного расширения CSE, вы можете с легкостью узнать имя библиотеки DLL, отвечающей за текущее расширение клиентской стороны, посмотрев на значение параметра Dllname. Все расширения клиентской стороны, созданные при установке операционной системы, связаны с идентификаторами GUID, предоставленными в следующей таблице:</p><table><tbody><tr><td><p><strong>Расширение клиентской стороны</strong></p></td><td><p><strong>DLL</strong></p></td><td><p><strong>Идентификатор GUID</strong></p></td></tr><tr><td><p>Групповые политики беспроводной сети</p></td><td><p>gptext.dll</p></td><td><p>{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}</p></td></tr><tr><td><p>Групповые политики среды</p></td><td><p>gpprefcl.dll</p></td><td><p>{0E28E245-9368-4853-AD84-6DA3BA35BB75}</p></td></tr><tr><td><p>Групповые политики локальных пользователей и групп</p></td><td><p>gpprefcl.dll</p></td><td><p>{17D89FEC-5C44-4972-B12D-241CAEF74509}</p></td></tr><tr><td><p>Групповые политики настроек устройств</p></td><td><p>gpprefcl.dll</p></td><td><p>{1A6364EB-776B-4120-ADE1-B63A406A76B5}</p></td></tr><tr><td><p>Перенаправление папок</p></td><td><p>fdeploy.dll</p></td><td><p>{25537BA6-77A8-11D2-9B6C-0000F8080861}</p></td></tr><tr><td><p>Реестр</p></td><td><p>userenv.dll</p></td><td><p>{35378EAC-683F-11D2-A89A-00C04FBBCFA2}</p></td></tr><tr><td><p>Квота дисков Microsoft</p></td><td><p>dskquota.dll</p></td><td><p>{3610eda5-77ef-11d2-8dc5-00c04fa31a66}</p></td></tr><tr><td><p>Групповые политики сетевых настроек</p></td><td><p>gpprefcl.dll</p></td><td><p>{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}</p></td></tr><tr><td><p>QoS на основе политики</p></td><td><p>gptext.dll</p></td><td><p>{426031c0-0b47-4852-b0ca-ac3d37bfcb39}</p></td></tr><tr><td><p>Сценарии</p></td><td><p>gptext.dll</p></td><td><p>{42B5FAAE-6536-11d2-AE5A-0000F87571E3}</p></td></tr><tr><td><p>Групповые политики зон безопасности <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a></p></td><td><p>iedkcs32.dll</p></td><td><p>{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}</p></td></tr><tr><td><p>Групповые политики сопоставления дисков</p></td><td><p>gpprefcl.dll</p></td><td><p>{5794DAFD-BE60-433f-88A2-1A31939AC01F}</p></td></tr><tr><td><p>Групповые политики папок</p></td><td><p>gpprefcl.dll</p></td><td><p>{6232C319-91AC-4931-9385-E70C2B099F0E}</p></td></tr><tr><td><p>Групповые политики общих сетевых ресурсов</p></td><td><p>gpprefcl.dll</p></td><td><p>{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}</p></td></tr><tr><td><p>Групповые политики файлов</p></td><td><p>gpprefcl.dll</p></td><td><p>{7150F9BF-48AD-4da4-A49C-29EF4A8369BA}</p></td></tr><tr><td><p>Групповые политики источников данных</p></td><td><p>gpprefcl.dll</p></td><td><p>{728EE579-943C-4519-9EF7-AB56765798ED}</p></td></tr><tr><td><p>Групповые политики INI-файлов</p></td><td><p>gpprefcl.dll</p></td><td><p>{74EE6C03-5363-4554-B161-627540339CAB}</p></td></tr><tr><td><p>Групповые политики поиска Windows / WDS</p></td><td><p>srchadmin.dll</p></td><td><p>{7933F41E-56F8-41d6-A31C-4148A711EE93}</p></td></tr><tr><td><p>Безопасность</p></td><td><p>scecli.dll</p></td><td><p>{827D319E-6EAC-11D2-A4EA-00C04F79F83A}</p></td></tr><tr><td><p>Групповые политики развертывания принтеров</p></td><td><p>gpprnext.dll</p></td><td><p>{8A28E2C5-8D06-49A4-A08C-632DAA493E17}</p></td></tr><tr><td><p>Групповые политики служб</p></td><td><p>gpprefcl.dll</p></td><td><p>{91FBB303-0CD5-4055-BF42-E512A681B325}</p></td></tr><tr><td><p>Internet Explorer Branding / Internet Explorer</p></td><td><p>iedkcs32.dll</p></td><td><p>{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}</p></td></tr><tr><td><p>Групповые политики настроек папок</p></td><td><p>gpprefcl.dll</p></td><td><p>{A3F3E39B-5D83-4940-B954-28315B82F0A8}</p></td></tr><tr><td><p>Групповые политики назначенных заданий</p></td><td><p>gpprefcl.dll</p></td><td><p>{AADCED64-746C-4633-A97C-D61349046527}</p></td></tr><tr><td><p>Групповые политики реестра Windows</p></td><td><p>gpprefcl.dll</p></td><td><p>{B087BE9D-ED37-454f-AF9C-04291E351182}</p></td></tr><tr><td><p>Восстановление EFS</p></td><td><p>scecli.dll</p></td><td><p>{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}</p></td></tr><tr><td><p>Групповые политики проводной сети 802.3</p></td><td><p>dot3gpclnt.dll</p></td><td><p>{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}</p></td></tr><tr><td><p>Групповые политики принтеров</p></td><td><p>gpprefcl.dll</p></td><td><p>{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}</p></td></tr><tr><td><p>Групповые политики ярлыков</p></td><td><p>gpprefcl.dll</p></td><td><p>{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}</p></td></tr><tr><td><p>Групповые политики файлов Microsoft Offline</p></td><td><p>cscobj.dll</p></td><td><p>{C631DF4C-088F-4156-B058-4375F0853CD8}</p></td></tr><tr><td><p>Установка программ</p></td><td><p>appmgmts.dll</p></td><td><p>{c6dc5466-785a-11d2-84d0-00c04fb169f7}</p></td></tr><tr><td><p>IP безопасность</p></td><td><p>polstore.dll</p></td><td><p>{e437bc1c-aa7d-11d2-a382-00c04f991e27}</p></td></tr><tr><td><p>Групповые политики настроек Интернета</p></td><td><p>gpprefcl.dll</p></td><td><p>{E47248BA-94CC-49c4-BBB5-9EB7F05183D0}</p></td></tr><tr><td><p>Групповые политики параметров меню Пуск</p></td><td><p>gpprefcl.dll</p></td><td><p>{E4F48E54-F38D-4884-BFB9-D4D2E5729C18}</p></td></tr><tr><td><p>Групповые политики региональных настроек</p></td><td><p>gpprefcl.dll</p></td><td><p>{E5094040-C46C-4115-B030-04FB2E545B00}</p></td></tr><tr><td><p>Групповые политики настройки электропитания</p></td><td><p>gpprefcl.dll</p></td><td><p>{E62688F0-25FD-4c90-BFF5-F508B9D2E31F}</p></td></tr><tr><td><p>Групповые политики приложений</p></td><td><p>gpprefcl.dll</p></td><td><p>{F9C77450-3A41-477E-9310-9ACD617BD9E3}</p></td></tr><tr><td><p>Корпоративная политика QoS</p></td><td><p>gptext.dll</p></td><td><p>{FB2CA36D-0B40-4307-821B-A13B252DE56C}</p></td></tr></tbody></table><br/><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/82/ Microsoft for Business <h2>Описание доклада</h2><br /><ul><li>Работа с данными большого размера. BLOB + SQL FileStream;</li><li>Служба приложение профилей пользователей;</li><li>Личные сайты </li></ul><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId><input type=hidden value=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9 id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl><div style=height:400px;width:460px id=silverlightControlHost><div id=silverlightPlayer><object style=height:380px;width:460px type=application/x-silverlight-2 data=data:application/x-silverlight-2,><param value=http://www.techdays.in.ua/TechDaysPlayer.xap name=source><param value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3733,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;width={0}&amp;height={1} name=initParams><param value=onSilverlightError name=onError><param value=white name=background><param value=3.0.40624.0 name=minRuntimeVersion><param value=true name=autoUpgrade><a style=text-decoration: none; href=http://go.microsoft.com/fwlink/?LinkID=124807><img style=border-style: none alt=Get Microsoft Silverlight src=http://www.techdays.in.ua/App_Themes/9-9/images/zaglushka.png></a></object></div><div style=display: none id=MediaPlayer><object style=height:380px;width:460px type=application/x-ms-wmp id=Player> <param value=http://www.techdays.in.ua/get.aspx?MID=21f7032c-6d03-4a45-b2c2-1c2b24e1c9f9&amp;IsSilverLight=false name=URL><param value=False name=AutoStart><param value=true name=stretchToFit><param value=true name=SendPlayStateChangeEvents></object></div> <iframe style=visibility: hidden; height: 0; width: 0; border: 0px></iframe> <div style=text-align:center; font-size: 14px; padding-bottom: 10px; class=PlayerSwitcher><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a style=display:none onclick=ChangeLink(true) href=javascript: id=silverlightLink>Watch using Silverlight</a> <a onclick=ChangeLink(false) href=javascript: id=WindowsMediaLink>Watch using Windows Media Player</a></div></div></div></div> http://www.microsoft.com/rus/business/smb/blog/81/ Microsoft for Business <p>Каждый, кто мало-мальски сталкивался с проектами, знает что, прежде чем приступить к исполнению проекта, его нужно спланировать. Многие из тех, кто исполняет проекты регулярно, так же регулярно строят планы проектов с применением специализированного и не очень программного обеспечения, т.е. моделируют проекты или, как принято говорить, строят компьютерные модели проектов.</p><p>Построить модель проекта - это еще полбеды, а вот что с ней делать дальше? С вопросом: Зачем тебе компьютерная модель проекта? мы обратились к коллегам, занятым в различных отраслях экономики, но, так или иначе связанных с исполнением проектов, а, соответственно, и работающих с моделями проектов. Спектр ответов был широк: от недоуменных а как же без них? (моделей) до пространных рассуждений о важности планирования в целом и построения каждой конкретной модели, в частности. О том, что получилось в итоге, попытаемся изложить ниже. Особо хотим подчеркнуть, что мы не будем выделять функциональные особенности разных программных продуктов, а рассмотрим наиболее распространенные вопросы, которые позволяют решить большинство специализированных продуктов.</p><h2>Планирование сроков</h2><br /><p>Все без исключения хотят видеть сроки исполнения проекта/портфеля проектов. Таким образом - самый востребованный функционал любого ПО для управления проектами - планирование сроков. Кроме того, большинство, все-таки, сравнивают фактически затраченное время с плановым и вычисляют отклонения.</p><p><img src=../../imgs/blogs/80/img001.jpg alt= width=95% /></p><h2>Планирование ресурсов (материалов, человеческих, машин и механизмов)</h2><br /><p>Вторым по востребованности оказался функционал, связанный с планированием ресурсов. Почти все планируют работы до уровня ресурсов (людей, машин, механизмов), многие, при этом, еще и выравнивают проект во избежание перегрузки ресурсов (ситуации, когда один ресурс назначен на несколько работ, которые должны быть исполнены одновременно). Достаточно редки случаи использования процента загрузки ресурса. Как правило, последнее лучше всего чувствуют строители, где возможны случаи параллельного использования одного и того же крана для поднятия стройматериалов на возводимые этажи здания и, например, разгрузки транспорта, доставляющего эти стройматериалы.</p><p><img src=../../imgs/blogs/80/img002.jpg alt= width=95% /></p><p><img src=../../imgs/blogs/80/img003.jpg alt= width=95% /></p><p><img src=../../imgs/blogs/80/img004.jpg alt= width=422 height=494 /></p><p><strong>Планирование материалов</strong></p><p>Трудно сказать, что этот функционал не используется, но применяется он, как правило, лишь в материалоемких отраслях. Ну, скажите, пожалуйста, кому больше чем строителю или производителю важно знать, сколько и каких материалов потребует его проект, сколько и каких материалов потребует каждая отдельная работа, исходя из нормативов (последнее - большая редкость), а также, какой объем материалов будет необходим на разных этапах исполнения проекта?</p><p><img src=../../imgs/blogs/80/img005.jpg alt= width=487 height=225 /></p><p><img src=../../imgs/blogs/80/img006.jpg alt= width=95% /></p><h2>Планирование бюджета проекта</h2><br /><p>Большинство бюджет проекта все-таки планирует, но вот происходит это, обычно, на уровне проекта в целом, реже - с детализацией до отдельных работ и уж совсем редко применяются множественные статьи затрат (а-ля управленческий учет), назначение почасовой либо сдельной стоимости (для трудовых ресурсов либо арендованных машин и механизмов), назначение стоимости материалов, а самая большая диковинка - это определение периодов, когда изменяется цена материалов (как известно, в период уборки урожая, ГСМ дорожает до 20%). Но ведь весь этот функционал доступен. Крайне редко в модель проекта закладывается получение доходов.</p><p><img src=../../imgs/blogs/80/img007.jpg alt= width=95% /></p><p><img src=../../imgs/blogs/80/img008.jpg alt= width=445 height=315 /></p><h2>Формирование плана работ для исполнителей</h2><br /><p>Теперь исполнители не придумывают, чем бы заняться и что бы в первую очередь освоить. Заказчик (начальник отдела, собственник ресурсов) сам формирует план работ исполнителю.</p><p><img src=../../imgs/blogs/80/img009.jpg alt= width=525 height=269 /></p><h2>Учет фактического исполнения проекта и анализ освоенного объема</h2><br /><p>Практически все опрошенные так или иначе ведут учет исполнения. Вопрос в том, что учитывается. Сроки учитывают все, многие учитывают расход денежных средств.</p><p><img src=../../imgs/blogs/80/img010.jpg alt= width=95% /></p><p><img src=../../imgs/blogs/80/img011.jpg alt= width=542 height=332 /></p><p>Вот, примерно, какая картина вырисовывается. Мы намеренно не упоминали здесь такие вещи как портфельное управление или многопользовательскую работу - об этом мы расскажем в нашей следующей статье. А если у вас есть вопросы, предложения, пожелания по функциональности ПО или общие вопросы по управлению проектами - давайте перенесем наше общения на просторы нашего форума.</p> http://www.microsoft.com/rus/business/smb/blog/80/ Microsoft for Business <p>В <a href=http://www.microsoft.com/rus/business/smb/blog/75/>предыдущей главе</a> рассматривалась настройка внешнего вида сайтов SharePoint. </p><p>В этой главе рассматриваются возможности для построения аналитических решений в SharePoint 2010. </p><p>В этой части руководства рассматриваются следующие темы: </p><ul><li>Что такое BI? </li><li>Службы Excel <ul><li>Excel Web Access </li><li>REST API для служб Excel</li></ul></li></ul><h2>Что такое BI?</h2><br><p>Business Intelligence (с англ. <em>бизнес-аналитика</em>) представляет из себя набор приложений и технологий, предназначенных для хранения, сбора, анализа и обработки информации. С помощью средств BI пользователи получают нужную информацию в удобном для восприятия виде - аналитические диаграммы и таблицы, списки состояний и т.д. </p><p>При правильном использовании BI позволяет облегчить процесс принятия решений и работы с большими объемами данных. В качестве анализируемых данных могут быть различные показатели эффективности, такие как количество продаж, прибыльность определенных категорий товаров, отслеживание тенденций продукта и т.д. Таким образом, спектр областей применения BI является достаточно обширным. </p><p>В SharePoint 2010 есть инструменты для работы с бизнес-аналитикой, о возможностях которых речь пойдет ниже. Удобно, что SharePoint 2010 тесно интегрирован с Microsoft SQL Server, что позволяет объединить преимущества этих продуктов.</p><h2>Службы Excel</h2><br><p>Excel очень известный инструмент для работы с таблицами данных, с которыми можно выполнять расчеты по собственным или стандартным формулам, строить графики или диаграммы. </p><p>Службы Excel состоят из следующих компонентов: </p><ol><li>Excel Web Access </li><li>REST API для служб Excel </li><li>Службы вычислений Excel</li></ol><p>Рассмотрим возможности служб Excel на примере сайта <em>Центр бизнес аналитики </em>(рис. 5.1), который является стандартным шаблоном, используемым специально для BI решений (замечу, что для работы со службами Excel понадобится Enterprise редакция SharePoint Server). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image12.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb12.png?w=628&amp;h=289 alt=image width=90% title=image/></a></p><p>Рис. 5.1. Центр бизнес аналитики </p><p>Вспомним про сайт школьной библиотеки, создание простейшей версии которого мы рассматривали в главе 3. Создадим книгу Excel, которая содержит данные о количествах книг в год, которыми пользуются ученики разных классов. На основе этих данных построена диаграмма, показывающая, ученики каких классов являются самыми активными читателями (рис. 5.2). Важно не забыть дать диаграммам и таблицам названия. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image13.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb13.png?w=628&amp;h=290 alt=image width=90% title=image/></a></p><p>Рис. 5.2. Содержимое книги Excel </p><p>Итак, после создания файла, опубликуем его на портале, для чего в <em>библиотеке документов</em> портала кликнуть на <em>Добавить документ</em> (рис. 5.3) и в появившемся окне выбрать файл на компьютере. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image14.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb14.png?w=628&amp;h=112 alt=image width=90% title=image/></a></p><p>Рис.5.3. Библиотека документов центра бизнес-аналитики </p><p>Также можно воспользоваться другим способом, иногда более удобным, чтобы сохранить документ сразу в библиотеку документов, минуя стадию сохранения файла на рабочей станции. Для этого нужно в Excel 2010 в меню <em>Файл</em> выбрать <em>Сохранить и отправить</em>, далее кликнуть на <em>Сохранить в </em><em>SharePoint</em>, после чего в правой части окна появится одноименная панель (рис. 5.4). При нажатии на кнопку <em>Параметры публикации</em> появится окно, предлагающее выбрать элементы для публикации - вся книга, определенные листы или определенные элементы книги. По умолчанию публикуется книга целиком. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image15.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb15.png?w=628&amp;h=234 alt=image width=90% title=image/></a></p><p>Рис. 5.4. Меню сохранения файла на портал SharePoint </p><p>Далее остается кликнуть на <em>Сохранить как</em>, набрать адрес портала, авторизоваться, и сохранить документ. </p><p>После публикации книги Excel на портале с настроенными службами Excel есть возможность просматривать содержимое прямо в браузере (рис. 5.5), при этом Microsoft Office 2010 может отсутствовать на рабочей станции. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image16.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb16.png?w=628&amp;h=357 alt=image width=90% title=image/></a></p><p>Рис. 5.5. Открытая в браузере книга Excel</p><h2>Excel Web Access</h2><br><p>Представляет из себя стандартную веб-часть, которая может быть добавлена на любую страницу. Смысл ее заключается в том, что она позволяет отобразить содержимое любой книги Excel (или ее части), которая находится на портале. </p><p>Создадим новую пустую страницу веб-частей в<em> библиотеке страниц</em>, которую назовем <em>Активность читателей</em>. Для добавления веб-части нужно открыть страницу для редактирования, и в любой зоне можно кликнуть на <em>Добавить веб-часть</em>. После этого в верхней части страницы можно найти каталог веб-частей, доступных для вставки на страницу (рис. 5.6). интересующая нас веб-часть находится в каталоге <em>Бизнес-данные</em>, после выбора кликнуть на <em>Добавить</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image17.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb17.png?w=628&amp;h=140 alt=image width=90% title=image/></a></p><p>Рис. 5.6. Панель выбора веб-частей для вставки на страницу </p><p>После добавления веб-части на страницу нужно указать путь к файлу в свойствах веб-части (рис. 5.7). Кроме подключения книги, можно также настроить внешний вид веб-части, макет, определить панель инструментов, доступную пользователям, а также задать аудитории для просмотра веб-части. После настройки кликнуть на <em>ОК</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image18.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb18.png?w=361&amp;h=324 alt=image width=361 height=324 title=image/></a></p><p>Рис. 5.7. параметры веб-части Excel Web Access </p><p>В результате получится следующее (рис. 5.8). Для того, чтобы другие пользователи увидели изменения, нужно не забыть опубликовать страницу. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image19.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb19.png?w=628&amp;h=452 alt=image width=90% title=image/></a></p><p>Рис. 5.8. Страница с добавленной веб-частью Excel Web Access</p><h2>REST API для служб Excel</h2><br><p>С помощью REST API для служб Excel есть возможность получать данные из книги Excel посредством URL. </p><p>URL, с помощью которого можно получить данные, состоит из следующих частей </p><ol><li>URI: страница Excel REST </li><li>Путь до файл Excel на портале </li><li>Путь до ресурса (в книге) для отображения</li></ol><p><p><em>http://&lt;портал&gt;/_</em><em>vti_</em><em>bin/</em><em>ExcelRest.</em><em>aspx/&lt;библиотека%20</em><em>excel&gt;/&lt;книга%20</em><em>excel&gt;/&lt;</em><em>ресурс&gt;</em></p></p><p>Посмотрим, как это работает на примере нашего документа, для чего нужно перейти по ссылке</p><p> <p><em>http://&lt;портал&gt;/_</em><em>vti_</em><em>bin/</em><em>ExcelRest.</em><em>aspx/</em><em>Excel%20</em><em>Library/Активность%20Классов.</em><em>xlsx/</em><em>model</em>. </p></p><p>В результате чего мы увидим следующее (рис. 5.9), что представляет собой типы ресурсов, доступных для отображения. Ресурсы можно извлекать в следующих форматах - html, atom, изображение (в формате PNG), рабочая книга. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image20.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb20.png?w=628&amp;h=271 alt=image width=90% title=image/></a></p><p>Рис. 5.9. Элементы, которые можно получить из книги Excel </p><p>Например, с помощью ссылки</p><p> <p><em>http</em><em>://&lt;портал&gt;/_</em><em>vti</em><em>_</em><em>bin</em><em>/</em><em>ExcelRest</em><em>.</em><em>aspx</em><em>/&lt;библиотека%20</em><em>excel</em><em>&gt;/&lt;книга%20</em><em>excel</em><em>&gt;<br />/</em><em>Model</em><em>/</em><em>Ranges</em><em>(&lt;название%20диапазона&gt;)?$</em><em>format</em><em>=</em><em>HTML</em></p></p><p>отображается диапазон данных в формате html.</p><p> <p><em>http</em><em>://&lt;портал&gt;/_</em><em>vti</em><em>_</em><em>bin</em><em>/</em><em>ExcelRest</em><em>.</em><em>aspx</em><em>/&lt;библиотека%20</em><em>excel</em><em>&gt;/&lt;книга%20</em><em>excel</em><em>&gt;<br /></em><a href=http://contoso/Finance/_vti_bin/ExcelRest.aspx/Shared%20Documents/Tax.xlsx/Model/Tables%28%27RevenueTable%27><em>/</em><em>Model</em><em>/</em><em>Tables</em><em>(название%20таблицы</em></a><em>)?$</em><em>format</em><em>=</em><em>html</em></p></p><p>отображается таблица в формате html</p><p> <p><em><a href=http://dplotnikov.wordpress.com/Users/????????/Desktop/4Mesh/dp/blog/????????????????%20??%20SharePoint%202010/%0dhttp:/%3c%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB%3e/_vti_bin/ExcelRest.aspx/%3c%D0%B1%D0%B8%D0%B1%D0%BB%D0%B8%D0%BE%D1%82%D0%B5%D0%BA%D0%B0%20excel%3e/%3c%D0%BA%D0%BD%D0%B8%D0%B3%D0%B0%20excel%3e/Model/PivotTables%28%27%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0%20Pivot%27%29?$format=html>http://&lt;портал&gt;/_vti_bin/ExcelRest.aspx/&lt;библиотека%20excel&gt;/&lt;книга%20excel&gt;<br />/Model/PivotTables(таблица%20Pivot)?$format=html</a></em></p></p><p>отображается таблица Pivot в формате html</p><p> <p><em>http</em><em>://&lt;портал&gt;/_</em><em>vti</em><em>_</em><em>bin</em><em>/</em><em>ExcelRest</em><em>.</em><em>aspx</em><em>/&lt;библиотека%20</em><em>excel</em><em>&gt;/&lt;книга%20</em><em>excel</em><em>&gt;/</em><br /><em>Model</em><em>/</em><em>Charts</em><em>(название%20диаграммы)?$</em><em>format</em><em>=</em><em>image</em></p></p><p>отображается диаграмма в формате изображения. </p><p>Для чего это нужно? Например, на портале загружен документ, в котором содержатся большие объемы данных, а нам нужно, чтобы на одной из страниц (или в документе Word) отображался некий текст и несколько диаграмм из этого документа. Целесообразно использовать REST API, при этом можно говорить о живых диаграммах, так как пользователю не нужно заботиться об обновлении диаграммы при изменении данных в документе, т.к. это происходит автоматически. </p><p>Рассмотрим конкретный пример, для чего создадим новую страницу, на которую напишем, что на ней изображен график активности классов в чтении книг, после чего нужно вставить ссылку на картинку (рис. 5.10), указав в поле адреса следующее:</p><p> <p><em><a href=http://%3c%d0%bf%d0%be%d1%80%d1%82%d0%b0%d0%bb%3e/_vti_bin/ExcelRest.aspx/Documents/%D0%A7%D0%B8%D1%82%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D0%BA%D0%B0%D1%8F%20%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D1%8C.xlsx/Model/Charts%28%27%D0%90%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B8%D1%82%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9%27>http://&lt;портал&gt;/_vti_bin/ExcelRest.aspx/Documents/Читательская%20активность.xlsx<br />/Model/Charts(Активность_читателей</a>)</em></p></p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image21.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb21.png?w=628&amp;h=291 alt=image width=90% title=image/></a></p><p>Рис. 5.10. Кнопка на ленте для вставки ссылки на изображение </p><p>После вставки изображения можно сохранить страницу. В итоге страница не нагромождена веб-частями (рис. 5.11), и при изменении данных в опубликованной книге график также претерпит изменения (это произойдет автоматически). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image22.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb22.png?w=616&amp;h=375 alt=image width=90% title=image/></a></p><p>Рис. 5.11. Страница с добавленной диаграммой из книги Excel </p><p>Использование REST API не ограничивается описанными сценариями. Подробное описание работы с REST API можно найти <a href=http://msdn.microsoft.com/ru-ru/library/ee556413.aspx>здесь</a>. </p><p>Службы вычисления отвечают за ячейки, значения которых рассчитывают по формулам. </p><p></p><h2>Веб часть диаграммы</h2><br><p>Веб-часть диаграммы представляет собой готовое решение, позволяющее строить диаграммы на основе данных из другой веб-части, списка, Business Connectivity Services или служб Excel. </p><p>Удобство данного решения заключается в его простоте. Настройка диаграммы поделена на 2 блока - базовый (включает 2 мастера для создания диаграмм) и расширенный (представляет собой таблицу, в которой хранятся данные с параметрами диаграммы).</p><p>Рассмотрим создание диаграммы на основе уже созданной нами ранее книги Excel. Итак, добавляем веб-часть на страницу (находится в каталоге <em>Бизнес-данные</em>). Далее кликаем на <em>Данные и оформление</em> (рис. 5.12), и выбираем <em>Подключить диаграмму к данным</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image30.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb32.png?w=628&amp;h=139 alt=image width=90% title=image/></a></p><p>Рис. 5.12. Страница с мастерами для настройки диаграмм </p><p>Рассмотрим шаги мастера подробнее: </p><ol><li>Выбор источника данных - можно использовать данные из другой веб-части, списка на портале, каталога бизнес-данных или служб Excel (рис. 5.13); <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image31.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb33.png?w=628&amp;h=178 alt=image width=90% title=image/></a></p><p>Рис. 5.13. Шаг подключения к данным </p></li><li>Подключение к источнику данных - указываем путь до книги Excel и имя диапазона данных (рис. 5.14); <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image32.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb34.png?w=628&amp;h=173 alt=image width=90% title=image/></a></p><p>Рис. 5.14. Шаг подключения к данным из служб Excel</p></li><li>Извлечение и отбор данных - отображаются все данные из указанного диапазона, которые можно отфильтровать (рис. 5.15); <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image33.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb35.png?w=628&amp;h=255 alt=image width=90% title=image/></a></p><p>Рис. 5.15. Шаг извлечения и отбора данных</p></li><li>Привязка диаграммы к данным - осуществляется привязка данных к полям, есть возможность проанализировать данные с помощью списка предопределенных формул (рис 5.16). <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image34.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb36.png?w=628&amp;h=236 alt=image width=90% title=image/></a></p><p>Рис. 5.16. Шаг привязки данных к диаграмме</p></li></ol><p>После прохождения всех шагов мастера можно заняться настройкой внешнего вида диаграммы. Для этого кликаем на <em>Данные и оформление</em>, и затем выбираем <em>Настройка диаграммы</em>. </p><p>Рассмотрим подробнее шаги данного мастера: </p><ol><li>Выбор типа диаграммы - предоставляет большое многообразие типов, как двумерных, так и трехмерных (рис. 5.17); <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image35.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb37.png?w=628&amp;h=233 alt=image width=90% title=image/></a></p><p>Рис. 5.17. Шаг выбора типа диаграммы</p></li><li>Свойства оформления диаграммы - выбирается тема оформления, задается размер и формат изображения (рис. 5.18); <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image36.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb38.png?w=628&amp;h=233 alt=image width=90% title=image/></a></p><p>Рис. 5.18. Шаг оформления диаграммы</p></li><li>Свойства элемента диаграммы - настраивается заголовок и легенда, оси и линии сетки, подписи и маркеры данных, гиперссылки и подсказки (рис. 5.19). <p><a href=http://dplotnikov.files.wordpress.com/2011/06/image37.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb39.png?w=628&amp;h=279 alt=image width=90% title=image/></a></p><p>Рис. 5.19 Шаг свойств элемента диаграммы.</p></li></ol><p>Расширенная настройка диаграмм предоставляет больше параметров для настройки, но они представлены в неудобном для пользователей виде (рис. 5.20). Параметры поделены по блокам, что упрощает процесс поиска нужного параметра, причем можно сразу просматривать результат. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image38.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb40.png?w=628&amp;h=269 alt=image width=90% title=image/></a></p><p>Рис. 5.20. Дополнительные свойства веб-части диаграммы </p><p>Таким образом, веб-часть диаграммы очень удобна для построения статических диаграмм, тем более что внешний вид, как и настройку источника данных, может выполнить пользователь с любым уровнем квалификации. </p><p></p><h2>Службы PerformancePoint 2010</h2><br><p>Самым функциональным решением для реализации BI в SharePoint 2010 можно по праву считать службы PerformancePoint, позволяющие создавать интерактивные отчеты и диаграммы на основе OLAP-кубов. </p><p>Возможности для разных категорий пользователей </p><ul><li>ИТ-профессионалы <ul><li>Установка и настройка </li><li>Создание и настройка источников данных</li></ul></li><li>Опытные пользователи и разработчики <ul><li>Создание отчетов </li><li>Настройка элементов PPS </li><li>Публикация панелей мониторинга</li></ul></li><li>Конечные пользователи <ul><li>Просмотр панелей мониторинга</li></ul></li></ul><p>В качестве источников данных для отчетов может выступать книга Excel, службы Excel, службы аналитики (речь идет про SQL Server Analysis Services, или SSAS), список на портале или таблица SQL Server. </p><p>Предпочтительнее использовать SSAS, так при использовании технологии OLAP высокая производительность, а также имеет место поддержка интерактивности в системах показателей и аналитических отчетах. </p><p>В качестве <em>источника данных</em> в дальнейших примерах используется OLAP куб AdventureWorks, проект для развертывания которого можно скачать на сайте <a href=http://msftdbprodsamples.codeplex.com/>http://msftdbprodsamples.codeplex.com/</a>. Замечу, что Express -редакция SQL Server не позволяет работать со службами аналитики. Также полезный материал можно найти в <a href=http://technet.microsoft.com/ru-ru/library/ms170208.aspx>Учебнике по службам SSAS</a>. </p><p>Мера - основная таблица хранилища данных. Как правило, содержит сведения об объектах или событиях, совокупность которых будет в дальнейшем анализироваться. </p><p>Измерения - таблица в структуре многомерной базы данных, которая содержит атрибуты событий, сохраненных в таблице фактов. Атрибуты представляют данные, логически объединенные в одно целое. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image39.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb41.png?w=447&amp;h=244 alt=image width=447 height=244 title=image/></a></p><p>Рис. 5.21. Элементы служб PerformancePoint </p><p><em>KPI </em>(ключевой индикатор производительности) - мера, используемая для отслеживания выполнения цели, плана или бизнес-процесса, при это сравнивается и оценивается актуальное и целевое значения метрик. </p><p><em>Индикатор</em> - графический элемент, отображаемый при сравнении актуального и целевого значений KPI. Есть список готовых индикаторов, также есть возможность создать собственные индикаторы. </p><p><em>Система показателей</em> - изображает эффективность, показывая коллекцию KPI вместе с целевыми значениями для этих KPI.</p><h2>KPI</h2><br><p>Рассмотрим пример создания системы показателей. Для работы со службами PerformancePoint есть специальный инструмент - конструктор панелей мониторинга (рис. 5.22), который откроется (или будет предложена его установка), если создать источник подключений к данным в <em>библиотеке подключений </em>центра бизнес-аналитики. Инструмент устанавливается на компьютер разработчика, поэтому можно запустить его из меню <em>Пуск</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image40.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb42.png?w=628&amp;h=447 alt=image width=90% title=image/></a></p><p>Рис. 5.22. Конструктор панелей мониторинга </p><p>Создадим подключение к источнику данных <em>Службы аналитики</em>, после чего нужно указываем настройки соединения (рис. 5.23). Для проверки правильности подключения можно кликнуть на <em>Проверка источника данных</em>. В качестве источника данных используем OLAP-куб Adventure Works, речь про который шла чуть выше. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image41.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb43.png?w=628&amp;h=448 alt=image width=90% title=image/></a></p><p>Рис. 5.23. Поля для создания источника данных к отчетам </p><p>Создадим KPI для анализа продаж байков. Допустим, что есть план продаж 10 байков в месяц. Нужно проанализировать, выполняется ли этот план в течение года. </p><p>Для этого кликнем правой кнопкой в конструкторе по библиотеке <em>Содержимое </em><em>PerformancePoint</em>, и выбрать <em>Ключевой индикатор производительности</em>. В появившемся окне (рис. 5.24)выберем <em>Пустой ключевой индикатор производительности</em>, который не имеет предварительно определенного содержимого или сопоставлений данных. В отличие от <em>Цели</em>, которая представляет из себя один или несколько дочерних KPI. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image42.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb44.png?w=628&amp;h=466 alt=image width=90% title=image/></a></p><p>Рис. 5.24. Окно создания нового KPI </p><p>Для KPI можно задать формат числа, выбрать индикаторы, настроить сопоставления или сделать вычисления (рис. 5.25). Действительное (или фактическое) значение представляет собой текущее значение некоторого показателя. Целевое значение представляет собой планируемое значение показателя. Для одного KPI можно использовать несколько фактических или целевых значений. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image43.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb45.png?w=628&amp;h=66 alt=image width=90% title=image/></a></p><p>Рис. 5.25. KPI с одним фактическим и целевым значениями. </p><p>Чтобы сделать KPI в рамках оговоренных выше условий, нужно настроить сопоставление фактического значения KPI с данными. Для этого нужно кликнуть на значение в ячейке <em>Сопоставления</em>, и сменить источник данных на созданный нами. После этого появится окно (рис. 5.26), позволяющее выбрать анализируемые меры. Мы выберем меру <em>Reseller </em><em>Order </em><em>Count</em>, содержащую данные о количестве продаж. Также при необходимости можно отфильтровать меру с помощью измерений или воспользоваться формулами для статической обработки элементов. После применения необходимых настроек необходимо кликнуть на <em>OK</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image44.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb46.png?w=628&amp;h=465 alt=image width=90% title=image/></a></p><p>Рис. 5.26. Окно сопоставления источника данных </p><p>Для того чтобы сопоставить <em>Целевое значение</em> с числом 10, достаточно кликнуть на соответствующее поле, и ввести туда требуемое число. </p><p>Для настройки индикатора для KPI достаточно выделить его, и увидеть панель для его настройки (рис. 5.27). Можно указать пороговые значения прямо здесь, либо воспользоваться мастером, кликнув по <em>Настройка шаблона определения показателей и индикатора</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image45.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb47.png?w=628&amp;h=298 alt=image width=90% title=image/></a></p><p>Рис. 5.27. Панель для настройки индикатора. </p><p>Создадим пустую систему показателей, чтобы разместить на ней данные, а также добавить туда KPI. Добавим в рабочую область созданный KPI, который нужно просто перетащить из панели сведения (рис. 5.28). После добавления KPI нужно указать источник данных, после чего в рабочую область можно добавить измерения. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image46.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb48.png?w=628&amp;h=269 alt=image width=90% title=image/></a></p><p>Рис.5.28. Рабочая область создания системы показателей. </p><p>Удалим столбец <em>Действительное значение</em>, и, кликнув правой кнопкой по <em>столбцу Целевое значение</em>, выберем в контекстном меню <em>Параметры метрики</em>, где в качестве значения данных выберем <em>Действительное значение</em>. Это дает следующее - мы оставили поле, в котором показывается фактическое значения показателя, индикатор соответствующего цвета, и показывается, на сколько процентов мы отстаем от плана. </p><p>Добавим месяцы, чтобы нагляднее представить данные. Для этого в панели <em>Сведения</em> развернем группу <em>Измерения</em>, и найдем там измерение <em>Month </em><em>of </em><em>Year</em>, которое перетащим прямо на ячейку с надписью <em>Целевое значение</em>. Появляется окно выбора элементов (рис. 5.29), в котором нужно выбрать все месяцы вручную, либо кликнув правой кнопкой мыши по узлу <em>All </em><em>Periods</em>, и далее на <em>Выбрать дочерние элементы</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image47.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb49.png?w=628&amp;h=461 alt=image width=90% title=image/></a></p><p>Рис. 5.29. Окно выбора элементов </p><p>Теперь продажи байков поделены на месяцы, но нет детализации, какие именно категории байков продает компания. </p><p>Для того чтобы добавить категории, нужно перетащить измерение Subcategory, и выбрать там несколько видов байков. Сделаем внешний вид менее нагруженным, кликнув правой кнопкой по полю <em>Продажи байков</em>, и выберем в контекстном меню <em>Скрыть</em>, таким образом, при публикации данное поле не будет отображаться (в конструкторе названия таких полей выделены красным цветом). </p><h2>Отчет и панель мониторинга</h2><br /><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image48.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb50.png?w=628&amp;h=149 alt=image width=90% title=image/></a></p><p>Рис. 5.30. Готовая система показателей</p><br><p>Можно создать несколько типов <em>отчетов</em>, например, аналитическая диаграмма, аналитическая таблица, веб-страница, службы Excel и т.д. Преимущества использования аналитических отчетов и диаграмм заключаются в следующем: </p><ul><li>Пользователи могут переключаться между диаграммой и таблицей; </li><li>Поддержка большинства типов диаграмм, таких как сетка, линейчатая диаграмма, линейчатая диаграмма с накоплением, нормированная линейчатая диаграмма, график, график с маркерами и круговая диаграмма; </li><li>Интерактивная панель инструментов и поддержка контекстного меню (рис. 5.31) - поддержка изменения типа графика, фильтрации и сортировки значений, детализация значений, изменение мер; </li><li>Дерево декомпозиции (рис. 5.32) - позволяет интерактивно (использует Silverlight) и доступно проанализировать данные</li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image49.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb51.png?w=417&amp;h=450 alt=image width=417 height=450 title=image/></a></p><p>Рис. 5.31. Контекстное меню аналитической диаграммы </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image50.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb52.png?w=628&amp;h=338 alt=image width=90% title=image/></a></p><p>Рис. 5.32. Дерево декомпозиции </p><p><em>Фильтры</em> используются для выбора значений, конкретизирующих анализируемые данные - например, страна и год. Несколько типов внешнего вида - список, дерево и дерево с множественным выбором. </p><p>Доступны следующие типы фильтров: </p><ul><li>Выбор элемента </li><li>Запрос многомерных выражений </li><li>Именованный набор </li><li>Логика операций со временем </li><li>Настраиваемая таблица </li><li>Формула подключения логики операций со временем</li></ul><p>Панель мониторинга - коллекция сгруппированных страниц, единственный элемент, развертываемый в SharePoint. Содержит системы показателей, фильтры и отчеты между которыми настроены соединения, благодаря чему обеспечивает интерактивность. </p><p>Итак, в конструкторе панелей мониторинга создадим аналитическую диаграмму. Как мы видим, в нижней части рабочей области можно добавить меры или измерения в качестве рядов и нижней оси, а также в качестве фона (для работы с фильтрами). </p><p>В строки добавим измерение Product Categories, выбрав в нем категории байков, которые отображаются в системе показателей. В фон добавим измерение Date Fiscal, которое в дальнейшем позволит фильтровать данные по финансовому году. В нижнюю ось можно добавить любые интересующие данные, например можно добавить измерение Sales Channel,а ниже - меры Gross Profit и Gross Profit Margin (рис. 5.33). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image51.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb53.png?w=628&amp;h=418 alt=image width=90% title=image/></a></p><p>Рис. 5.33. Аналитическая таблица </p><p>Осталось создать фильтры, благодаря которым можно будет выбирать год и территорию продаж. </p><p>В обоих случаях создадим типы фильтры типа <em>Выбор элементов</em>, используя такие же измерения, как и фоне аналитической таблицы. </p><p>Таким образом, сейчас все готово для создания панели мониторинга. В панели Сведения в рабочей области для создания панелей мониторинга можно найти все созданные элементы, доступные для добавления - системы показателей, отчеты и фильтры. </p><p>Простым перетаскиванием добавим наши элементы на страницу. Сейчас создать подключения между элементами на странице, чтобы при изменении значения фильтра автоматически обновлялись данные в системе показателей и аналитической таблице. </p><p>Для создания подключения можно воспользоваться кнопкой на ленте, или навести на фильтр, и в выпадающем списке доступных для подключения полей (рис. 5.34) перетащить элемент <em>Уникальное имя </em>элемента на систему показателей и затем на аналитическую таблицу. В появившемся окне оставим все без изменения, и кликнем на <em>ОК</em>. Аналогичные действия нужно проделать и с другим фильтром. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image52.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb54.png?w=405&amp;h=197 alt=image width=405 height=197 title=image/></a></p><p>Рис. 5.34. Список доступных для подключения полей фильтра <em>Финансовый год</em></p><p>При клике правой кнопкой на панели мониторинга в обозревателе рабочей области выбрать <em>Развертывание в </em><em>SharePoint</em> и нажать <em>ОК</em>. после публикации откроется окно в браузере с созданной нами страницей (рис. 5.35). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/06/image53.png><img src=http://dplotnikov.files.wordpress.com/2011/06/image_thumb55.png?w=628&amp;h=294 alt=image width=90% title=image/></a></p><p>Рис. 5.35. Фрагмент страницы с анализом продаж байков </p><p>Таким образом, благодаря SharePoint 2010, а также тесной интеграции с SQL Server, пользователи получают огромные возможности, которые позволяют эффективно анализировать данные. Очень удобно, что появился шаблон сайта <em>Центр бизнес аналитики</em>. </p><p>Итак, в этой статье мы говорили про BI в SharePoint 2010. Разработчикам предоставлен большой выбор инструментов для создания аналитических решений.</p> http://www.microsoft.com/rus/business/smb/blog/79/ Microsoft for Business <h2>Введение</h2><br><p>Невзирая на размер и сложность построения организации, любые администраторы должны задавать, управлять и обслуживать различные конфигурации пользователей и компьютеров, размещенных в разных подразделениях, так как в каждом отделе могут быть различные ограничения, потребности в использовании специализированного программного обеспечения и многое другое. Групповая политика предоставляет много возможностей, снижающих стоимость управления компьютерными системами, представляя собой компонент операционной системы Windows, позволяющий управлять изменениями и конфигурацией пользователей и компьютеров в центральной точке администрирования. Многие из вас уже не один год работают с групповыми политиками. Благодаря этой технологии, в вашей организации уже, наверное, оптимальным образом настроены клиентские компьютеры и учетные записи пользователей. Возможно, вы даже работаете со всеми доступными клиентскими расширениями, включая предпочитаемые групповые политики, политики защиты доступа к сети, политики ограниченного использования программ, а также расширение установка программ, о которых в своих статьях я упоминал лишь вскользь. Многие ли из вас задумывались непосредственно об архитектуре групповых политик, а также о компонентах, взаимодействующих при распространении объектов групповой политики, на клиентские компьютеры?</p><p>Сама инфраструктура групповой политики основана на архитектуре клиент - сервер с компонентами клиента и сервера и включает в себя <strong>модуль групповой политики</strong>, представляющий собой основу для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, называемых <strong>расширениями клиентской стороны</strong> (Client-side extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое применяет изменения безопасности, третье - обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее. Как, возможно, вы догадались, в разных версиях операционной системы присутствуют конкретные расширения клиентской стороны, причем, с каждой последующей версией Windows функционал групповой политики пополнялся новыми расширениями CSE. Например, с появлением операционной системы Windows Server 2008, функционал групповой политики пополнился более 20 расширениями клиентской стороны, при помощи которых возможно осуществление управления дополнительными параметрами, например, сопоставление дисков или изменение секций в свойствах *.ini-файлов, называемых предпочитаемыми групповыми политиками, которые в отличие от параметров групповой политики, предпочтения групповой политики не так строго привязываются к настройкам определенных компонентов системы. </p><p>С появлением операционных систем Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> появилось расширение CSE AppLocker, при помощи которого можно указать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. Таких примеров можно привести много. Но необходимо помнить, что клиент групповой политики всегда извлекает объекты групповой политики из домена, включая настроенные вами расширения клиентской стороны для локального применения параметров. Параметры групповой политики определяют конкретную конфигурацию для применения. Некоторые параметры политики влияют только на пользователя независимо от того, с какого компьютера был выполнен вход в систему, а другие параметры влияют на компьютер, независимо от того, какой пользователь вошел в систему на этом компьютере. Такие параметры называются <strong>параметрами конфигурации пользователей</strong> и <strong>параметрами конфигурации компьютеров</strong>. Параметры политики определяются и располагаются в объекте групповой политики, который может включать в себя один или несколько параметров политики и применяться к одной или нескольким конфигурациям пользователя или компьютера. А, как вы знаете, объекты групповой политики (GPO) можно создавать при помощи оснастки <strong>Управление групповой политикой</strong> (GPMC).</p><p>Из этой статьи вы узнаете об архитектуре механизма групповой политики, а также в ней вкратце будет рассмотрена архитектура таких расширений клиентской стороны, как:</p><ul><li>Установка программ, расширение клиентской стороны, предназначенное для централизованного управления начальным развёртыванием, обновлением и удалением программного обеспечения;</li><li>Параметры безопасности, расширение клиентской стороны, содержащее правила, позволяющие администраторам настраивать компьютеры для обеспечения защиты ресурсов;</li><li>Политики беспроводной сети, расширение клиентской стороны, обеспечивающее автоматическую конфигурацию для компьютеров, подключающихся к сети при помощи совместимого коммутатора 802.1X;</li><li>Перенаправление папок, расширение клиентской стороны, позволяющее администратору перенаправлять местоположение некоторых папок в пользовательском профиле на размещения, расположенные на сетевых ресурсах;</li><li>Политики ограниченного использования программ, расширение клиентской стороны, предоставляющее администраторам управляющий механизм, предназначенный для предотвращения распространения пользователями вредоносного программного обеспечения, запрещая пользователям запускать и устанавливать программное обеспечение;</li><li>Расширение политики IPSec. расширение клиентской стороны, обеспечивающее защиту сетей, выполняя шифрование пакетов IP и используя безопасные подключения, гарантируя их подлинность и конфиденциальность.</li></ul><h2>Архитектура групповой политики</h2><br><p>Как уже было упомянуто ранее, основным компонентом групповой политики является модуль групповой политики, также называемый ядром групповой политики, представляющий собой инфраструктуру, обрабатывающую серверные расширения, а также расширения клиентской стороны, управляемые при помощи таких административных инструментов, как <strong>Управление групповой политикой</strong> и <strong>Редактор управления групповой политикой</strong>. Стоит отметить, что изначально каждый компьютер под управлением операционных систем Windows 2000, Windows XP и Windows Server 2003 содержит только по одному локальному объекту групповой политики, который управляет конфигурацией системы и существует независимо от членства компьютера в рабочей группе или в домене, причем, влияют они только на текущий компьютер. Располагается этот объект в папке %SystemRoot%\System32\GroupPolicy. Начиная с операционных систем Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>, операционные системы содержат множество локальных объектов GPO, где объект групповой политики Локальный компьютер, применяемый к конфигурации компьютера ничем не отличается от соответствующего объекта GPO в системах-предшественниках. Но параметры пользователей на локальном компьютере модифицируются при помощи пользовательских параметров, которые можно найти в двух новых объектах GPO: <strong>Администраторы</strong> и <strong>Не администраторы</strong>, применяемые к пользователям, согласно их членству в локальных группах.</p><p>В отличие от локального применения групповой политики, доменные объекты групповой политики предназначаются для централизованного управления конфигурацией пользователей и компьютеров в домене Active Directory и хранятся непосредственно на контроллерах домена. В доменной среде, объекты GPO привязываются к таким уровням структуры Active Directory, как сайт, домен или подразделение, предоставляя возможность наследования параметров групповой политики. Изначально после установки роли <strong>Доменные службы Active Directory</strong> создаются два следующих объекта GPO:</p><ul><li><strong>Default Domain Policy</strong>. Данный объект групповой политики привязывается к домену и влияет на всех пользователей и все компьютеры в домене. В большинстве случаев, этот объект групповой политики содержит политики паролей, Kerberos и политики блокировки учетных записей.</li><li><strong>Default Domain Controller Policy</strong>. Этот объект GPO изначально связан с контейнером Domain Controllers и влияет только на контроллеры домена.</li></ul><p>Разумеется, помимо этих объектов групповой политики вы можете самостоятельно создавать объекты GPO и привязывать их к сайту, домену или любому подразделению. На следующей иллюстрации изображено взаимодействие архитектуры клиента и сервера групповой политики в рамках параметра обработки политики:</p><p><a href=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-02.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-02_mini_oszone.JPG alt=* width=480 height=246/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Компоненты групповой политики</strong></p><p>Всегда при взаимодействии клиента и сервера групповых политик, распространение объекта GPO начинается с того, что администратор при помощи так называемых административных инструментов создает объект групповой политики. На этом этапе системный администратор может вносить изменения в объект групповой политики, используя оснастку <strong>Редактор управления групповыми политиками</strong>, вызванную из оснастки <strong>Управление групповой политикой</strong>. В этой оснастке, в расширении серверной стороны администратор настраивает параметры политик. Оснастка располагается в библиотеке userenv.dll, которую можно найти в папке Windows\System32\. После этого, изменения, внесенные в параметры объектов групповой политики, передаются в Active Directory на контроллер домена</p><p>Контроллер домена, который является связующим звеном между изменениями, внесенными в административные шаблоны системным администратором и целевым компьютером, будет извлекать настройки параметров объектов групповой политики. Контроллер домена содержит логический компонент, контейнер групповой политики, который хранит информацию о настройках объектов групповых политик в Active Directory, а также физический компонент, шаблон групповых политик, который хранится в реплицируемой папке SYSVOL, распложенной на каждом контроллере домена.</p><p>При создании каждого нового объекта групповой политики, в базе данных Active Directory создается контейнер групповой политики (Group Policy Container, GPC), который вы можете найти в оснастке <strong>Active Directory - пользователи и компьютеры</strong>. Этот контейнер вы сможете найти как дочерний контейнер Policies контейнера System, только в том случае, когда вы включите отображение дополнительных компонентов из меню <strong>Вид</strong>, как можно увидеть на следующей иллюстрации:</p><p><a href=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-03.jpg target=_blank><img src=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-03_mini_oszone.jpg alt=* width=480 height=335/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Контейнеры групповой политики в домене Active Directory</strong></p><p>В Active Directory контейнер групповой политики создается как тип groupPolicyContainer, причем его GUID вы можете увидеть в оснастке <strong>Active Directory - пользователи и компьютеры</strong> в столбце <strong>Имя</strong>. Можно выделить следующие шесть основных атрибутов, позволяющих описать различные типы данных объекта групповой политики:</p><ul><li><strong>displayName</strong>. Атрибут, определяющий имя объекта групповой политики;</li><li><strong>gPCFileSysPath</strong>. Атрибут, указывающий путь к расположению текущего шаблона групповой политики с соответствующим именем GUID;</li><li><strong>gPCMachineExtensionNames</strong>. Атрибут, определяющий список расширений клиентской стороны конфигурации компьютера, используемых для обработки объекта групповой политики;</li><li><strong>gPCUserExtensionNames</strong>. Атрибут, определяющий список расширений клиентской стороны конфигурации пользователя, используемых для обработки объекта групповой политики;</li><p>значение текущего атрибута выглядит следующим образом: <strong>[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}]</strong>, что представляет собой [{GUID CSE-расширения}{GUID расширения MMC}{GUID второго расширения MMC}][GUID-идентификаторы последующих CSE- и MMC-расширений]</p><li><strong>versionNumber</strong>. В этом атрибуте определен номер версии контейнера GPC объекта групповой политики, который для осуществления синхронизации двух объектов должен быть идентичным с номером версии шаблона групповой политики;</li><li><strong>flags</strong>. Используя текущий атрибут вы можете просмотреть состояние объекта групповой политики. Под состоянием подразумевается то, что согласно значениям этого атрибута можно определить, включен ли объект GPO (значение 0), отключен ли раздел <strong>Конфигурация пользователя</strong> (значение 1), отключен ли раздел <strong>Конфигурация компьютера</strong> (значение 2) или если объект GPO полностью отключен (значение 3).</li></ul><p>Помимо упомянутых выше атрибутов, вы еще можете найти атрибуты, отображающие пользователей и группы с правами на управление объекта групповой политики. Несмотря на то, что вы можете изменять данные атрибуты при помощи оснастки <strong>Редактор ADSI</strong>, данные атрибуты вручную изменять не желательно. Атрибуты объекта групповой политики вы можете увидеть на следующей иллюстрации:</p><p><img src=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-04.jpg alt=* width=404 height=448/></p><p><strong>Рис. 3. Пример атрибутов контейнера групповой политики</strong></p><p>Каждый контейнер шаблона групповой политики после настройки объекта GPO создается и сохраняется в папке %SystemRoot%\SYSVOL на каждом контроллере домена. Причем, как уже было сказано ранее, каждый шаблон групповой политики создается с именем, указанным в атрибуте контейнера групповой политики. Шаблон групповой политики включает в себя практически все параметры объекта групповой политики, которые были добавлены в сам объект GPO. В основном, эти параметры можно найти в следующих папках:</p><ul><li><strong>Adm</strong>. Ввиду того, что начиная с операционных системы Windows Vista и Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a> для административных шаблонов стали использоваться ADMX и ADML файлы, необходимость в этой папке отпала. В случае использования устаревших административных шаблонов, все файлы административных шаблонов *.adm из папки %SystemRoot%\inf того компьютера, на котором создавался объект GPO, будут сохраняться в текущей папке;</li><li><strong>USER</strong>. В этой папке вы можете найти все внесенные в объект групповой политики изменения для конфигурации пользователя. В зависимости от того, как вы настроите объект GPO, в текущей папке можно найти следующее:</li><ul><li><strong>Registry.pol</strong> - параметры системного реестра, настроенных параметров политики административных шаблонов;</li><li><strong>\Applications</strong> - информацию по установке программного обеспечения при помощи CSE GGPSI;</li><li><strong>\Documents &amp; Settings</strong> - данные о перенаправлении папок;</li><li><strong>\Microsoft\IEAK</strong> - информацию о настройках браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a>;</li><li><strong>\Scripts\Logon</strong> - файлы сценариев входа, настроенных в GPO;</li><li><strong>Scripts\Logoff</strong> - файлы сценариев выхода, настроенных в GPO;</li></ul><li><strong>MACHINE</strong>. В этой папке вы можете найти все внесенные в объект групповой политики изменения для конфигурации компьютера. В зависимости от того, как вы настроите объект GPO, в текущей папке можно найти следующее:</li><ul><li><strong>Registry.pol</strong> - параметры системного реестра, настроенных параметров политики административных шаблонов;</li><li><strong>\Applications</strong> - информацию по установке программного обеспечения при помощи CSE GGPSI;</li><li><strong>\Microsoft\Windows NT\SecEdit</strong> - файл GptTmpl.inf, определяющий настройки, указанные в узле <strong>Параметры безопасности</strong>;</li><li><strong>Scripts\Shutdown</strong> - файлы сценариев завершения работы, настроенных в GPO;</li><li><strong>Scripts\Startup</strong> - файлы сценариев запуска компьютера, настроенных в GPO;</li></ul><li><strong>Gpt.ini</strong>. Файл, используемый для выводимого имени соответствующего объекта групповой политики и хранения номера версии шаблона GPO.</li></ul><p>Последний, кто участвует во взаимодействии клиента и сервера групповой политики - это клиентский компьютер, на который должны распространяться параметры политики, указанные в соответствующем объекте GPO. Если говорить о процессе распространения групповых политик на клиентский компьютер в общих чертах, то это выглядит следующим образом. Целевой компьютер связывается с контроллером домена. Модель групповых политик вызывает расширения клиентской стороны, реализованные в библиотеках, зарегистрированных в системном реестре и отвечающих за внесение изменений, согласно параметрам политики. Для выполнения настроек, указанных в параметрах групповой политики, расширения клиентской стороны изменяют конкретные параметры операционной системы. Изменения, внесенные в операционную систему при помощи модуля групповых политик, записываются в журналы событий. Начиная с операционных систем <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a> и Windows Server 2008, в отличие от предыдущих операционных систем, которые для выполнения обработки групповой политики использовали службу Winlogon, теперь для выполнения этих действий используется служба клиента групповой политики gpsvc. Реализовано это было с целью повышения стабильности работы системы, так как эта служба выполняется в процессе Svchost, что позволяет реализовать снижение объема памяти, занимаемого для обработки каждого процесса. В этом случае, подобно тому, как было в предыдущих операционных системах, расширения CSE запускаются в пространстве текущего процесса, как можно увидеть на следующей иллюстрации:</p><p><a href=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-05.JPG target=_blank><img src=http://www.oszone.net/figs/u/72715/110328120905/arch-gpo-05_mini_oszone.JPG alt=* width=480 height=237/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Расширения CSE</strong></p><p>Как вы видите на этой иллюстрации, в обработке групповой политики принимают участие библиотеки, отвечающие за следующие расширения клиентской стороны:</p><ul><li>Appmgmts.dll. Библиотека, предназначенная для обработки политики установки программного обеспечения;</li><li>Auditsce.dll. Библиотека, используемая для настройки политики аудита;</li><li>Cscobj.dll. Библиотека, сопоставленная с расширением клиентской стороны файлов Microsoft Office;</li><li>Dot3gpclnt.dll. Библиотека, обрабатывающая политики проводной сети IEEE 802.3;</li><li>Dskquota.dll. Библиотека, выполняющая обработку дисковой квоты;</li><li>Fdeploy.dll. Библиотека, используемая для перенаправления папок;</li><li>Gpprefcl.dll. Библиотека, выполняющая обработку окружения групповой политики, включающая большинство расширений клиентской стороны;</li><li>Gpprnext.dll. Библиотека, при помощи которой назначаются политики развертывания принтеров;</li><li>Gpscript.dll. Библиотека, отвечающая за расширение клиентской стороны, управляемой работой с сценариями;</li><li>Gptext.dll. Библиотека, использующаяся для обработки QoS на основе политики, TCP IP и некоторых сценариев;</li><li>Iedkcs32.dll. Библиотека, позволяющая управлять параметрами политики настройки браузера Internet Explorer;</li><li>Polstore.dll. Библиотека, предназначенная для работы с политиками IP-безопасности;</li><li>Scecli.dll. Применяется при обработке параметров безопасности;</li><li>TsUsbRedirectionGroupPolicyExtension.dll. Библиотека, предназначенная для перенаправления USB устройств;</li><li>Userenv.dll. Библиотека, включающая в себя модуль групповой политики и административные шаблоны;</li><li>Wlgpclnt.dll. Библиотека, обрабатывающая политики беспроводной сети IEEE 802.11.</li></ul><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/78/ Microsoft for Business <p>По роду своих занятий я неоднократно сталкиваюсь с компаниями, которые, так или иначе, планируют собственную деятельность.</p><p>Как правило, сведения о том, планирует ли компания свою деятельность, в частности, проектную, поступают ко мне при первом звонке и первом выходе на лицо, ответственное за понимание того, что на фирме происходит. В процессе общения постепенно всплывает информация о том, как ведется планирование. Как правило, планируют с помощью таких программных продуктов, как Microsoft Excel или Microsoft Project.</p><p>Ответственное лицо, гордое от осознания того, что утерло нос очередному консультанту, собирается уже класть трубку, когда я задаю ему один или несколько вопросов:</p><ol><li>Т.е. Вы знаете, чем сейчас у Вас занимаются все подрядчики в данный момент?</li><li>Вы знаете, сколько Вам точно необходимо денег на тот или иной проект на ближайшее время в разрезе всех статей бюджета?</li><li>Вы знаете, какие у Вас отставания по срокам с точностью до одного дня?</li><li>Вы знаете, какой у Вас перерасход бюджета с точностью до гривны, рубля?</li></ol><p>Нетрудно догадаться, что в основном ответ на все вопросы нет. Есть, конечно, компании, в которых отвечают да. Честь им и хвала. Однако, к сожалению, таких меньшинство. И это при полной уверенности большинства, что в их компаниях все хорошо. И при том, что с задержками по срокам и перерасходом бюджета на самом деле можно бороться. Только нужно уметь.</p><h2>Поговорим теперь о жизненных примерах</h2><br /><p>Как обычно планируют создание своих объектов, например строительных, Заказчики и Подрядчики? Так, как изображено на рисунках 1-2.</p><p><img src=../../imgs/blogs/77/img001.jpg alt= width=90% /></p><p>Рис. 1. Планирование в Microsoft Excel </p><p><img src=../../imgs/blogs/77/img002.jpg alt= width=90% /></p><p>Рис. 2. Планирование в Microsoft Project </p><p>Давайте проанализируем рисунки. Итак, у нас имеется перечень работ с длительностями от одного до пяти месяцев. Т.е. понять, чем конкретно будут заниматься маляры на задаче Малярные работы (рис.2) на протяжении пяти месяцев, невозможно. Непонятен объем работ, который необходимо сделать.</p><p>Непонятно, какие ресурсы (квалификация, стоимость, количество) необходимы для исполнения каждой задачи.</p><p>Затраты вообще отсутствуют как класс. Нет, не думайте, что объекты строятся за деньги спонсора. Просто никто не знает, сколько будут стоить малярные работы. И как результат, сколько будет стоить весь объект - большой вопрос. Поэтому разговоры о планировании бюджета даже не ведутся. Нет, конечно, при подписании договора на строительство в договоре определяется, простите за тавтологию, его договорная цена. Просто не определяется стоимость каждого этапа / подэтапа.</p><p>Некоторые специалисты могут задать вопрос А есть ли рабочая документация на объект?. Ответ очевиден. Конечно, нет. Где это видано у нас, чтобы рабочая документация была готова до начала строительства? Эти же специалисты радостно могут сказать сразу Вот вам и ответ. Уважаемые, это ответ не специалистов, а кустарей мелкого пошиба. Профессионалы могут по утвержденной стадии П проектной документации подробно все описать и сказать, что и сколько будет стоить, какие объемы работ предполагаются, какие ресурсы нужны, каков будет временной график, от чего зависят начало и окончание каждой из задач. Да, это будет не 100% попадание. Они скажут с вероятностью 90%. А это очень много. От таких цифр можно отталкиваться при планировании.</p><p>Далее. Между работами нет взаимосвязей. Получается, что кто-то решил: Устройство потолков (рис.2) должно начаться первого сентября. Неужели к началу нового учебного года решили приурочить начало работ по устройству потолков? Сомневаюсь. Просто никто не знает ответа на вопрос Когда?. И естественно, при отсутствии взаимосвязей и при отставании или опережении какого либо этапа или работы мы не увидим, что произойдет со сроками всего проекта, а как следствие будем оставаться в неведении относительно реального хода исполнения проекта. </p><h2>Теперь поговорим о динамике </h2><br /><p>В 90% случаев в компаниях, где ведется такое рисование проектов, никто не отслеживает процент исполнения работ. Самый распространённый способ определения текущего состояния проекта - зная, например сегодняшнее число, тыкнуть ручкой в соответствующую дату на графике, висящем на стене менеджера проекта, и сказать Вот здесь мы находимся!. Есть еще распространенный вариант. Это позвонить подрядчику и спросить Как дела? Где вы сейчас находитесь?</p><p>На графике (рис. 1 и 2) невозможно понять, что сделано, а что нет. А если что-то сделано, то сколько его сделано и сколько средств потрачено. Самое большое умиление вызвала информация об отставании работы Устройство стена и перегородок, рис.2. Неясно, ни на сколько, ни почему. Просто скромно написано Отставание. Наверное, работа Устройство перекрытий тоже отстает? Более чем уверен. Но почему нет опознавательных знаков?</p><p>Кстати, вверх совершенства - это информирование об отставании через ресурс Отставание (я долго смеялся), а не через специальные отведенные поля Отклонение по срокам и Отклонение по стоимости, специально созданные в программном продукте Microsoft Project, рис.3.</p><p><img src=../../imgs/blogs/77/img003.jpg alt= width=498 height=200 /></p><p>Рис. 3. Сигнализация отклонений</p><p>Итак, подытожим основные проблемы при планировании проектов:</p><ol><li>Чрезмерная укрупненность.</li><li>Отсутствие информации о необходимых человеческих ресурсах, машинах и оборудовании.</li><li>Отсутствие информации о необходимых материалах.</li><li>Отсутствие нормального планирования затрат проекта в разрезе статей затрат и планирования финансирования проекта. </li><li>Отсутствие взаимосвязей между задачами.</li><li>Отсутствие отслеживания динамики исполнения проекта.</li></ol><p>Читатели статьи, которые являются представителями Заказчиков, могут спросить: Для чего нам первые пять пунктов? У нас есть договор, есть договорная цена, есть сроки. Зачем знать что-то большее?</p><p>Знать не надо, если ваши подрядчики и исполнители всегда делают в срок и в рамках бюджета. Но сколько у компании таких дисциплинированных подрядчиков, а сколько - таких обычных?</p><p>Знать надо, чтобы компания могла планировать свою деятельность. Чтобы она понимала: проект Х окончится на три дня позже и будет стоить на 20 тыс. тугриков дороже, чем ожидалось, и в связи с этим необходимо перепланировать финансовые потоки, начало рекламной компании и т.д. и пр. Чтобы компания знала, что ее ресурсы освободятся позже, и нужно перепланировать начало других проектов.</p><p>Как тогда должен выглядеть график и что в нем должно быть? </p><p>Для примера возьмем график с рис.1. и посмотрим, как можно детализировать работы по этажу №1.</p><p><img src=../../imgs/blogs/77/img004.jpg alt= width=90% /></p><p>Рис. 4. Уровень детализации №1</p><p>Как видно на рисунке 4, строительство первого этажа на самом деле состоит из нескольких подэтапов, у каждого есть свои даты начала, окончания и стоимость. Теперь будет немного проще ответить на поставленные в начале статьи четыре вопроса.</p><p>А если еще более детализировать работы по первому этажу?</p><p><img src=../../imgs/blogs/77/img005.jpg alt= width=90% /></p><p>Рис. 5. Уровень детализации №2</p><p>Глядя на рисунок 5, можно даже расслабиться, потому-что видно уже многое. Т.е. вам уже подрядчик не скажет, что сделал половину первого этажа. Ему придется отчитываться, что готовы такие-то разделы, такие не готовы. Даты начала / окончания следующие .</p><p>А если детализировать еще подробнее, как на рисунке 6?</p><p><img src=../../imgs/blogs/77/img006.jpg alt= width=90% /></p><p>Рис. 6. Уровень детализации №3</p><p>Теперь видно все. Какие работы нужно сделать на кладке первого этажа. Какой объем этих самых работ. Столько стоят материалы на той или иной работе. Сколько необходимо денег на заработную плату рабочих и сколько - на деятельность машин и механизмов. Как связаны между собой работы.</p><p>Можно пойти еще дальше и контролировать рабочих, материалы, машины и механизмы, рис.7.</p><p><img src=../../imgs/blogs/77/img007.jpg alt= width=90% /></p><p>Рис. 7. Уровень детализации №4</p><p>С уровнями детализации, приведенными на рисунках 5-7, вы всегда будете знать ответы на вопросы:</p><ol><li>Чем сейчас у Вас занимаются все подрядчики в данный момент времени?</li><li>Сколько Вам точно необходимо денег на тот или проект на ближайшее время в разрезе всех статей бюджета?</li></ol><p>Собирая отчетность от подрядчиков и исполнителей о выполненных работах, запланированных согласно уровням детализации 2-4, Вы всегда сможете ответить на следующие вопросы, рис. 8:</p><ol><li>Каковы отставания по срокам с точностью до одного дня?</li><li>Каков перерасход бюджета с точностью до гривны, рубля?</li></ol><p><img src=../../imgs/blogs/77/img008.jpg alt= width=90% /></p><p>Рис. 8. Отклонения по стоимости и срокам</p> http://www.microsoft.com/rus/business/smb/blog/77/ Microsoft for Business <h2>Описание доклада</h2><br /><p>Использование RMS Детальная настройка разрешений пользователя Различные ограничения на доступ к данным, квоты Настройка альтернативного доступа Claim аунтификация (Windows Live, ADFS) Настройка SSL </p><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId><input type=hidden value=http://www.techdays.in.ua/get.aspx?MID=89234a0e-81fb-4962-ab86-98d06ffa3d35 id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl><div style=height:400px;width:460px id=silverlightControlHost><div id=silverlightPlayer><object style=height:380px;width:460px type=application/x-silverlight-2 data=data:application/x-silverlight-2,><param value=http://www.techdays.in.ua/TechDaysPlayer.xap name=source /><param value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=89234a0e-81fb-4962-ab86-98d06ffa3d35&amp;IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3735,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=89234a0e-81fb-4962-ab86-98d06ffa3d35&amp;width={0}&amp;height={1} name=initParams /><param value=onSilverlightError name=onError /><param value=white name=background /><param value=3.0.40624.0 name=minRuntimeVersion /><param value=true name=autoUpgrade /><a style=text-decoration: none; href=http://go.microsoft.com/fwlink/?LinkID=124807> <img style=border-style: none alt=Get Microsoft Silverlight src=/App_Themes/9-9/images/zaglushka.png /> </a></object></div><div style=display: none id=MediaPlayer><object style=height:380px;width:460px type=application/x-ms-wmp id=Player> <param value=http://www.techdays.in.ua/get.aspx?MID=89234a0e-81fb-4962-ab86-98d06ffa3d35&amp;IsSilverLight=false name=URL><param value=False name=AutoStart><param value=true name=stretchToFit><param value=true name=SendPlayStateChangeEvents></object></div> <iframe style=visibility: hidden; height: 0; width: 0; border: 0px></iframe> <div style=text-align:center; font-size: 14px; padding-bottom: 10px; class=PlayerSwitcher><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a style=display:none onclick=ChangeLink(true) href=javascript: id=silverlightLink>Watch using Silverlight</a> <a onclick=ChangeLink(false) href=javascript: id=WindowsMediaLink>Watch using Windows Media Player</a></div></div></div> </div> http://www.microsoft.com/rus/business/smb/blog/76/ Microsoft for Business <p>В <a href=http://www.microsoft.com/rus/business/smb/blog/72/>предыдущей главе</a> рассматривалось создание сайта Школьная библиотека (шаблон сайта можно найти в приложении к предыдущей главе). </p><p>В этой главе рассматривается настройка внешнего вида SharePoint 2010 </p><p>В этой части руководства рассматриваются следующие темы: </p><ul><li>Страницы </li><li>Темы </li><li>CSS </li><li>Главные страницы</li></ul><h2>Страницы</h2><br><p>Самый простой способ изменить внешний вид страниц - редактирование страницы прямо в браузере. По умолчанию, страницы в SharePoint Foundation и сайта группы являются wiki-страницами. При редактировании страниц на ленте есть специальная <em>Формат текста</em>(рис. 4.1). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image48.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb48.png?w=628&amp;h=88 alt=image width=90% title=image/></a></p><p>Рис. 4.1. Лента при редактировании wiki страницы </p><p>На самом деле данную возможность включить для любого типа сайтов, для чего в <em>Параметрах сайта</em> нужно для коллекции сайтов нужно активировать возможность <em>Инфраструктура публикации </em><em>SharePoint </em><em>Server</em>. Затем на уровне сайта активировать возможность <em>Публикация </em><em>SharePoint </em><em>Server</em>. </p><p>Рассмотрим подробнее группы элементов на ленте </p><ul><li>Правка - сохранение документа, извлечение для редактирования. Для того чтобы измененную страницу увидели все пользователи, нужно ее вернуть; </li><li>Буфер обмена - вставка, копирование, отмена; </li><li>Шрифт - детальная настройка шрифта - размер, шрифт, начертание, цвет; </li><li>Абзац - маркеры, отступы, выравнивание; </li><li>Стили - предлагается список стилей для настройки фрагмента выделенного текста; </li><li>Макет - предлагается список готовых разметок (рис. 4.2) </li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image49.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb49.png?w=256&amp;h=347 alt=image width=256 height=347 title=image/></a></p><p>Рис. 4.2. Макеты текста </p><ul><li>Разметка - можно применять стили разметки, добавить языковой атрибут к html, выбрать контент страницы на основе html, поработать с исходным кодом html. </li></ul><p>На вкладке Вставка (рис. 4.3) также можно обнаружить много полезных команд. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image50.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb50.png?w=474&amp;h=141 alt=image width=474 height=141 title=image/></a></p><p>Рис. 4.3. Доступные элементы для вставки на страницу</p><h2>Темы</h2><br><p>Чтобы попасть в меню управления темами на сайте SharePoint 2010, нужно зайти в <em>Параметры сайта</em>, и в группе <em>Внешний вид и функции</em> перейти к <em>Теме сайта </em>(рис. 4.4). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image51.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb51.png?w=628&amp;h=208 alt=image width=90% title=image/></a></p><p>Рис. 4.4. Меню выбора темы сайта </p><p>Данный способ настройки предоставляет возможность выбора из предопределенного списка тем. </p><p>К счастью, есть возможность создавать темы с помощью Microsoft PowerPoint 2010. Рассмотрим этот процесс подробнее. </p><p>После запуска PowerPoint переходим на вкладку <em>Дизайн</em>, кликаем по элементу <em>Цвета</em> и выбираем в выпадающем списке <em>Создать новые цвета темы </em>(рис. 4.5). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image52.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb52.png?w=255&amp;h=528 alt=image width=255 height=528 title=image/></a></p><p>Рис. 4.5. Выпадающий список цветов тем. </p><p>В появившемся диалоге (рис. 4.6)выбираем понравившиеся цвета, вводим имя и нажимаем на <em>Сохранить</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image53.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb53.png?w=499&amp;h=492 alt=image width=499 height=492 title=image/></a></p><p>Рис. 4.6. Окно создания новых цветов темы. </p><p>Кроме цветов можно также настроить шрифты, кликнув по соответствующему элементу в группе <em>Темы</em> на вкладке <em>Дизайн</em>. </p><p>Сохраним результат как тему, для чего нужно в меню <em>Файл</em> выбрать <em>Сохранить как</em>, и в поле <em>Тип файла</em> указать <em>Тема </em><em>Office</em><em> (*.</em><em>thmx</em><em>)</em>. Остается загрузить полученный файл на сайт. </p><p>Переходим в Параметры сайта, и кликаем на пункт <em>Темы</em> в группе <em>Коллекции</em>. В результате мы видим список тем (рис. 4.7), готовых для использования на нашем сайте. Кликаем на <em>Добавить элемент</em> и загружаем только что созданный нами файл. После этого наша тема появляется в списке доступных для выбора в меню <em>Тема сайта</em>, о работе с которым говорится чуть выше. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image54.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb54.png?w=628&amp;h=441 alt=image width=90% title=image/></a></p><p>Рис. 4.7. Список тем сайта </p><p>В SharePoint Server 2010 отредактировать тему сайта можно прямо в браузере.</p><h2>CSS</h2><br><p>Есть 2 подхода для работы с CSS </p><p>1. Альтернативные CSS - подключение CSS к сайту и всем его дочерним сайтам; </p><p>2. Подключение CSS к главной странице - с помощью специального тэга CssRegistration можно подключить к мастер-странице один или несколько CSS файлов. </p><p>Альтернативные CSS можно использовать только в SharePoint Server с включенной возможность <em>Инфраструктура публикации</em>. </p><p>Создадим файл Alternate.css (название может быть любым) со следующим содержанием:</p><blockquote> <p><em>.s4-title {</em></p><p><em>background:#ff9b21 repeat-y scroll 0 0;</em></p><p><em>}</em></p></blockquote><p>Сохраним созданный файл по адресу </p><p><em>http://&lt;портал&gt;/</em><em>Style%20</em><em>Library/&lt;язык&gt;/&lt;</em><em>Themable&gt;/</em></p><p>Осталось подключить наш стилевой файл. В параметрах сайта в группе <em>Внешний вид и фукнции </em>выбираем <em>Главная страница</em>. На открывшейся странице нас интересует группа URL-адрес альтернативной таблицы CSS (рис. 4.8), куда вводим путь или находим файл после нажатия на кнопку <em>Обзор</em>. Применим изменения, нажав <em>ОК</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image55.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb55.png?w=628&amp;h=119 alt=image width=90% title=image/></a></p><p>Рис. 4.8. Путь до альтернативной таблицы CSS </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image56.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb56.png?w=628&amp;h=50 alt=image width=90% title=image/></a></p><p>Рис. 4.9. Результат применения альтернативной таблицы CSS </p><p>Вариант подключения CSS к главной странице рассмотрим чуть ниже.</p><h2>Главные страницы</h2><br><p>На страницах сайтов (речь идет о сайтах вообще, не только SharePoint) часто используются одинаковые элементы в одинаковых местах. Чтобы избежать ненужной работы, придумали главные страницы (с англ. master pages) (рис. 4.10), которые содержат общие для всех страниц элементы. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image57.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb57.png?w=239&amp;h=151 alt=image width=239 height=151 title=image/></a></p><p>Рис. 4.10. Структура страницы </p><p>В SharePoint 2010 есть следующие типы главных страниц </p><p>1. default.master - страница от SharePoint 2007. <em>Действия сайта</em> в правой части, отсутствует лента; </p><p>2. v4.master - основная страница для SharePoint 2010; </p><p>3. minimal.master - страница почти ничего не содержит, используется для приложения поиска и Office Web Apps. Навигация отсутствует; </p><p>4. simple.master - используется для страниц ошибок и авторизации; </p><p>5. nightandday.master - появляется при активации <em>Инфрастуктуры публикации </em><em>SharePoint</em> <em>Server</em>. </p><p>Для работы с мастер-страницами используется SharePoint Designer 2010. Рекомендуется работать с копиями мастер страниц. </p><p>Для работы со стилями в SharePoint Designer на ленте есть вкладка <em>Стиль </em>(рис. 4.11), функционал которой размещен в четырех группах </p><ul><li>Главная страница - управление подключениями главных страниц; </li><li>Создание - создание и управление стилями; </li><li>Применение стилей - выбор режима применения стиля; </li><li>Свойства - свойства тега, CSS, страницы или выбранного элемента. </li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image58.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb58.png?w=628&amp;h=60 alt=image width=90% title=image/></a></p><p>Рис. 4.11. Вкладка <em>Стиль</em> на ленте SharePoint Designer 2010 </p><p>После внесения изменений нужно сохранить файл, и опубликовать на портал в качестве основного документа. Для того, чтобы использовалась созданная нами главная страница, нужно указать ее в качестве главной (стр. 4.12), для чего в <em>параметрах сайта</em> нужно выбрать <em>Главная страница</em>. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image59.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb59.png?w=628&amp;h=214 alt=image width=90% title=image/></a></p><p>Стр. 4.12. Выбор главной страницы сайта </p><p>В этой статье описывалась настройка внешнего вида SharePoint 2010.</p> http://www.microsoft.com/rus/business/smb/blog/75/ Microsoft for Business <p>Для мелких предприятий и организаций, в которых используется максимум до 25 компьютеров, Microsoft предлагает Small Business Server 2011 Essentials. При его разработке главное внимание было уделено удешевлению и максимальному упрощению установки, настройки, администрирования и обслуживания во время эксплуатации. Потому что главными потребностями мелких фирм являются необходимость повысить производительность труда сотрудников и улучшение безопасности данных, при этом очень важно избежать дополнительных сложностей и затрат в IT. Анализ пожеланий таких заказчиков показал, что им требуется простая и рентабельная IT-инфраструктура обеспечивающая гибкую защиту данных, быстрый возврат инвестиций и повышение производительности труда сотрудников. </p><p>Small Business Server 2011 Essentials во многом похож на своего старшего брата SBS 2011 Standard. Он также базируется на последней, самой стабильной версии Windows Server 2008 R2, имеет даже еще более простую процедуру установки и средства удаленного доступа. Но в целях удешевления сервера и снижения требований к железу, очень ресурсоемкие Exchange и корпоративный портал, заменены возможностью интеграции с облачными сервисами Microsoft.<br /></p><h2>Онлайн Бизнес-приложения</h2><br /><p><img src=../../imgs/blogs/74/img001.png alt= width=90% /></p><p>Благодаря этому SBS 2011 Essentials идеально подходит как первый сервер для малых предприятий до 25 пользователей и обеспечивает экономически эффективное, простое в использовании (easy-to-use) решение для защиты данных, организации и получения доступа к деловой информации практически из любой точки. Позволяет реализовать поддержку приложений, необходимых для ведения бизнеса и быстро подключиться к онлайновым сервисам электронной почты, совместной работы и CRM.</p><p><img src=../../imgs/blogs/74/img002.png alt= width=132 height=175 hspace=12 /></p><p>Подключение клиентских компьютеров к SBS 2011 Essentials может быть выполнено конечным пользователем (не нужно обладать правами администратора) Процесс запускается с Веб-страницы, не требует ни каких специальных знаний и занимает очень мало времени. При этом вводится сетевой логин и пароль пользователя SBS, добавляется описание компьютера, а также имеется возможность переместить существующие локальные настройки и данные на сервер, и разрешить автоматическое включение компьютера для резервирования. Для еще большего упрощения типичных задач пользователей, на клиентских компьютерах устанавливается специальный гаджет - панель запуска, обеспечивающий запуск наиболее нужных повседневных задач.</p><p> <img src=../../imgs/blogs/74/img003.png alt= width=141 height=172 hspace=12 /></p><p>Более безопасный, с автоматическим режимом локального резервного копирования и восстановления, Small Business Server 2011 Essentials помогает обеспечить безопасность важных данных. Выполняя автоматическое, ежедневное создание резервных копий каждого компьютера и сервера в сети, SBS 2011 Essentials позволяет в случае необходимости восстановить отдельные файлы, папки, либо полностью рабочую станцию или сервер с помощью простых инструментов восстановления.</p><p><img src=../../imgs/blogs/74/img004.png alt= width=331 height=188 /></p><p>Благодаря использованию самых современных технологий, SBS 2011 Essentials обеспечивает доступность офиса организации и возможность работы практически из любого места. Предоставление удаленного доступа к важной информации, позволяет сотрудникам решать бизнес-задачи, даже тогда когда они находятся вне офиса. Использование персонального веб-адреса, позволяет сделать доступными компьютеры и документы с любого веб-браузера, фактически из любой точки, откуда есть доступ в интернет. </p><p> В настоящее время спрос на онлайн услуги очень быстро растет во всем мире, особенно в сфере малого бизнеса. Small Business Server 2011 Essentials был специально разработан для облегчения связи с облаком и обеспечения тесной интеграции между локальными службами и онлайн сервисами с помощью надстроек SBS 2011 Essentials Add-ins.</p><p> <img src=../../imgs/blogs/74/img005.png alt= width=90% /></p><p> Надстройки добавляют функциональность, расширяющую возможности SBS 2011 Essentials для реализации дополнительных функций для конечного пользователя или административных возможностей. Они могут быть установлены ОЕМ партнерами при предустановке, либо загружены из каталогов сторонних разработчиков. Надстройки Add-in могут быть как онлайн, так и размещенные локально, либо комбинацией тех и других.</p><p> Онлайн службы Add-in - программное обеспечение, которое интегрирует функции Essentials с размещенными онлайн сервисами, например, с Облаком резервного копирования, офисом 365, размещенной электронной почтой, онлайн CRM, и т.д.</p><p> Локальные Add-in - программное обеспечение, которое расширяет функциональность Интранет шаблонов, например, инструменты управления питанием сервера, безопасности и групповой политики, анти-вредоносного программного обеспечения и т.д.</p><p> Возможность использования надстроек Add-in значительно повышает гибкость Windows Small Business Server 2011 Essentials, потому, что позволяет пользователям выбрать наиболее подходящие для каждого конкретного случая решения поставщиков сервисов или независимых разработчиков. А менеджер надстроек (расширений), включающий также и средства развертывания расширений, позволяет легко управлять используемыми расширениями (надстройками).</p><p> При использовании в организации, имеющей до 25 пользователей, Windows Small Business Server 2011 Essentials имеет следующие основные преимущества: </p></p><ul><li>Ежедневное автоматическое резервное копирование данных клиентов и серверов</li><li>Доступность и простота в развертывании, использовании и поддержке. Встроенные мастера для упрощенной установки администрирования и решения повседневных задач.</li><li>Возможность организовать доступ к файлам практически из любой точки</li><li>Легкость подключения к онлайн услугам с целью расширения возможностей и встроенная интеграция с облачными и онлайн сервисами, которая включает возможность аутентификации в облачных сервисах с использованием AD FS.</li><li>Единый центр управления для локальных и облачных сервисов и прозрачный доступ, как к облачным, так и к локальным приложениям. Интеграция с Business Productivity Online Suite (BPOS) и Офис 365.</li><li>Расширения (надстройки) Add-in</li><li>Поддержка Mac/Apple позволяет использовать сервер в качестве хранилища резервного копирования Time Machine. Есть клиентская поддержка надстроек iPhone, поддержка удаленного Web Access, поддержка out-of-box для Leopard и выше, клиентский соединитель, приборной панели, Launchpad (включая оповещения системы) и удаленный Web Access Dashboard.</li></ul> http://www.microsoft.com/rus/business/smb/blog/74/ Microsoft for Business <h2>Введение</h2><br><p>Из предыдущих семи статей данного цикла вы узнали о том, как можно рационально использовать такие локальные политики безопасности, как:</p><p><strong>Политики учетных записей</strong>, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos - протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена;</p><p><strong>Политики аудита</strong>, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей;</p><p><strong>Назначение прав пользователей</strong>, предназначенные для определения пользователей или групп пользователей, для которых будут предоставлены различные права и привилегии;</p><p><strong>Журнал событий</strong>, предназначен для указания максимального размера, выбора метода сохранения событий, а также определения периода времени, на протяжении которого события будут сохраняться в трех основных журналах;</p><p><strong>Группы с ограниченным доступом</strong>, при помощи которых вы можете определить членов данной группы, а также членства в группах для конкретной группы безопасности;</p><p><strong>Системные службы</strong>, которые отвечают за централизованное управление службами ваших клиентских машин;</p><p><strong>Реестр</strong>, предназначен для определения права доступа и аудита для различных разделов системного реестра компьютеров, которые указаны в области действия групповой политики;</p><p><strong>Файловая система</strong>, позволяющая назначить права аудита и доступа к файлу или папке;</p><p><strong>Политики проводной сети (IEEE 802.3)</strong>, обеспечивающие автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3.</p><p>Используя все вышеперечисленные локальные политики безопасности в комплексе, вы тем самым поднимите уровень защищенности своей интрасети на новый уровень, прикрыв множество лазеек, которые могли бы использовать злоумышленники. В этой статье я расскажу о том, как можно указать расположение по умолчанию и разрешения доступа пользователей к сетям в различном состоянии, таком как сети в процессе идентификации, опознанные сети, неопознанные сети, а также все сети.</p><h2>Настройка политики диспетчера списка сетей</h2><br><p>Для того чтобы воспользоваться функционалом локальных политик безопасности, предназначенным для изменения политик списка сетей, откройте <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей</strong>, как показано на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100916074446/nlmp-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-01_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Политики диспетчера списка сетей</strong></p><p>Как вы уже заметили на предыдущей иллюстрации, в области сведений политик диспетчера списка сетей можно настраивать:</p><ul><li>Сети, которые не удается идентифицировать из-за ошибок сети или отсутствия идентифицируемых признаков, называемых <strong>Неопознанные сети</strong>;</li><li>Временное состояние сетей, находящихся в процессе идентификации, которые называются <strong>Идентификация сетей</strong>;</li><li>Все сети, к которым подключен пользователь, называемое <strong>Все сети</strong>;</li><li>А также текущее сетевое подключение (рабочая группа или домен).</li></ul><p>В следующих подразделах рассмотрены различные сценарии, для которых можно применить политики диспетчера списка сетей.</p><h2>Принудительное изменение названия сетей для пользователей, находящихся в домене</h2><br><p>Как в рабочих группах, так и в доменах пользователи могут самостоятельно изменять имя сети. Для этого нужно выполнить следующие действия:</p><ol><li>Открыть окно <strong>Центр управления сетями и общим доступом</strong>;</li><li>В группе <strong>Просмотр активных сетей</strong> щелкните на значке сети, имя которой вы хотите изменить;</li><li>В диалоговом окне <strong>Настройка свойств сети</strong>, в текстовом поле <strong>Сетевое имя</strong> измените имя сети на то, которое вас устраивает.</li><br/><p><a href=http://oszone.net/figs/u/72715/100916074446/nlmp-02.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-02_mini_oszone.jpg alt=* width=480 height=351/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Изменение сетевого имени</strong></p></ol><p>Вам нужно сделать так, чтобы пользователи вашего домена не могли изменить название сети в <strong>Центре управления сетями и общим доступом</strong>. Для этого выполните следующие действия:</p><ol><li>Так как действие этой групповой политики должно распространяться на все компьютеры этого домена, в оснастке <strong>Управление групповой политикой</strong>, в дереве консоли, разверните узел <strong>Лес: имя домена\Домены\имя домена</strong> и выберите объект групповой политики <strong>Default Domain Policy</strong>;</li><li>Нажмите правой кнопкой мыши на этом объекте групповой политики и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Изменить</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-03.JPG alt=* width=351 height=311/></p><p><strong>Рис. 3. Изменение предустановленного объекта групповой политики Default Domain Policy</strong></p><li>В открывшейся оснастке <strong>Редактор управления групповыми политиками</strong> в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей</strong> и откройте политику <strong>Все сети</strong>, как показано ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-04.jpg alt=* width=404 height=448/></p><p><strong>Рис. 4. Запрещение изменения имени сети пользователем</strong></p><p>В открывшемся окне политики безопасности, в группе <strong>Имя сети</strong> установите переключатель на опцию <strong>Пользователь не может изменить имя</strong> и нажмите на <strong>ОК</strong>;</p><li>Откройте политику, именем которой назначено имя вашего домена (в этом случае - testdomain.com). На вкладке <strong>Имя сети</strong>, в группе <strong>Имя</strong> установите переключатель на опцию <strong>Имя</strong> и укажите название сети (в этом примере - Доменная сеть организации). В группе <strong>Разрешения пользователя</strong> можете установить переключатель на опцию <strong>Пользователь не может изменить имя</strong>, но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров вашей организации;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-05.jpg alt=* width=404 height=448/></p><p><strong>Рис. 5. Изменение имени сети</strong></p><li>Закройте <strong>Редактор управления групповыми политиками</strong> и, при необходимости, обновите политики конфигурации компьютера, используя команду <em>GPUpdate /Target:Computer /force /boot</em> в командной строке</li></ol><p>Результат применения групповой политики отображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100916074446/nlmp-06.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-06_mini_oszone.JPG alt=* width=480 height=293/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Окно Центр управления сетями и общим доступ и диалоговое окно Настройка свойств сети после применения групповой политики</strong></p><h2>Принудительное изменение значка сети для пользователей, находящихся в домене</h2><br><p>Пользователи могут изменять значки сетей так же просто, как и их имена. Для этого нужно лишь перейти в диалоговое окно <strong>Настройка свойств сети</strong>, нажать на кнопку <strong>Изменить</strong>, которая расположена возле значка сети, затем в диалоговом окне <strong>Изменение значка сети</strong> выбрать нужный значок из доступных или нажать на кнопку <strong>Обзор</strong> и указать расположение и имя своего значка для сети.</p><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-07.jpg alt=* width=306 height=363/></p><p><strong>Рис. 7. Изменение значка сети</strong></p><p>Также как и в случае с именем сети, вы можете запретить пользователям вашего домена (или локальным пользователям) изменять значки для сетей. Для этого выполните следующие действия:</p><ol><li>В оснастке <strong>Управление групповой политикой</strong> выберите объект групповой политики <strong>Default Domain Policy</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В открывшейся оснастке <strong>Редактор управления групповыми политиками</strong> в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей</strong>, откройте политику <strong>Все сети</strong> и в группе <strong>Значок сети</strong> установите переключатель на опцию <strong>Пользователь не может изменить значок</strong>;</li><li>Откройте политику, именем которой назначено имя вашего домена и перейдите на вкладку <strong>Значок сети</strong>. В группе <strong>Значок</strong> установите переключатель на опцию <strong>Значок</strong> и нажмите на кнопку <strong>Сменить значок</strong>. В диалоговом окне <strong>Изменение значка профиля сети</strong> укажите значок, который будет отображаться у всех пользователей в домене и нажмите на кнопку <strong>ОК</strong>. В группе <strong>Разрешения пользователя</strong> можете установить переключатель на опцию <strong>Пользователь не может изменить значок</strong>, но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров вашей организации;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-08.jpg alt=* width=404 height=448/></p><p><strong>Рис. 8. Изменение значка сети</strong></p><li>Закройте <strong>Редактор управления групповыми политиками</strong> и, при необходимости, обновите политики конфигурации компьютера, используя команду <em>GPUpdate /Target:Computer /force /boot</em> в командной строке</li></ol><p>Результат применения групповой политики отображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100916074446/nlmp-09.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-09_mini_oszone.jpg alt=* width=480 height=154/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Результат применения политики диспетчера списка сетей</strong></p><h2>Принудительное изменение профиля брандмауэра Windows в неопознанных сетях</h2><br><p>В последние годы все больше пользователь используют мобильные компьютеры. Используя свои мобильные компьютеры, пользователи могут подключаться к сети Интернет даже находясь в кафе, аэропортах или просто сидя на скамейке в парке. Именно в таких случаях их компьютеры находятся под более существенным риском нападения злоумышленниками, нежели в корпоративной среде или у себя дома. Когда пользователь подключается к беспроводной сети, операционная система Windows автоматически определяет такую сеть как общедоступную. Для того чтобы настройки безопасности брандмауэра Windows применялись к компьютеру в зависимости от пользовательского места нахождения были разработаны профили брандмауэра. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип <strong>доменного</strong> размещения сети. Если компьютер используется дома или в офисе - обычно применяется <strong>домашняя</strong> сеть с <strong>частным</strong> профилем брандмауэра. В местах общего пользования принято использовать <strong>общий</strong> профиль брандмауэра. Часто случается, что пользователи, находясь в общедоступных местах, пренебрегают этим средствам безопасности и для общедоступного профиля устанавливают частные профили брандмауэра.</p><p>Используя политики диспетчера списка сетей вы можете навсегда указать пользователю, какой профиль нужно использовать в случае неопознанных сетей, которые идентифицируются как Общественная сеть. Для этого выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политикой</strong>;</li><li>В открывшемся окне, в дереве оснастки, перейдите в узел <strong>Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей</strong> и откройте политику <strong>Неопознанные сети</strong>;</li><li>В диалоговом окне <strong>Свойства: Неопознанные сети</strong>, в группе <strong>Тип расположения</strong>, установив переключатель на нужную вам опцию, выберите профиль брандмауэра, который будет сопоставлен с неопознанными сетями. В данном случае, устанавливается профиль <strong>Общий</strong>. В группе <strong>Разрешения пользователя</strong> можете установить переключатель на опцию <strong>Пользователь не может изменить расположение</strong> для того чтобы пользователь вручную не мог изменить сетевое расположение.</li><br/><p><img src=http://oszone.net/figs/u/72715/100916074446/nlmp-10.jpg alt=* width=414 height=461/></p><p><strong>Рис. 10. Принудительная настройка профиля брандмауэра для неопознанных сетей</strong></p><li>Закройте <strong>Редактор локальной групповой политикой</strong> и, при необходимости, обновите политики конфигурации компьютера, используя команду <em>GPUpdate /Target:Computer /force /boot</em> в командной строке.</li></ol><h2>Заключение</h2><br><p>В этой статье вы узнали об очередных локальных политиках безопасности операционных систем Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>, а именно о политиках диспетчера списка сетей. Эти политики позволяют вам указать расположение по умолчанию и разрешения доступа пользователей к сетям в различном состоянии, таком как сети в процессе идентификации, опознанные сети, неопознанные сети, а также все сети. В статье были рассмотрены сценарии, где указывались принудительные имя и значок сети в домене, а также принудительное изменение профиля брандмауэра Windows в неопознанных сетях. В следующей статье данного цикла вы узнаете о политиках беспроводной сети IEEE 802.11</p> http://www.microsoft.com/rus/business/smb/blog/73/ Microsoft for Business <p>Это статья серии Использование SharePoint для бизнеса</p> <p>В <a href=http://www.microsoft.com/rus/business/smb/blog/69/>предыдущей главе</a> был рассмотрен простейший сценарий развертывания SharePoint 2010. </p><p>В этой главе рассматривается создание сайта Школьная библиотека. </p><p>В этой части руководства рассматриваются следующие темы: </p><ul><li>Создание сайта </li><ul><li>Веб-приложение </li><li>Семейство веб-сайтов </li><li>Разрешения </li><li>Навигация </li><li>Создание списка в браузере </li></ul><li>Создание списка в InfoPath Designer </li><li>Создание списка в SharePoint Designer 2010 </li><li>Создание списка в Visual Studio 2010</li></ul><h2>Создание сайта</h2><br><p>Для простоты ограничимся использованием сайта в качестве хранилища данных о книгах. Сотрудникам библиотеки предоставляется возможность создания, редактирования и удаления записей о книгах. Читателям доступен лишь просмотр списка книг.</p><h2>Веб-приложение</h2><br><p>Создадим новое веб-приложение (нужны права администратора фермы). </p><p>Для этого заходим в Центр администрирования, и, кликнув в панели быстрого запуска на <em>Управление приложениями</em>, увидим следующее (рис. 3.1.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image21.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb21.png?w=628&amp;h=266 alt=image width=90% title=image/></a></p><p>Рис. 3.1. Управление приложениями </p><p>После чего открываем пункт меню <em>Управление веб-приложениями</em> и на ленте кликаем на пункт <em>Создать</em>, в результате чего появляется следующий диалог (рис. 3.2.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image22.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb22.png?w=611&amp;h=833 alt=image width=90% title=image/></a></p><p>Рис. 3.2. Создание нового веб-приложения </p><p>Рассмотрим подробнее настройки, предлагаемые для создания нового веб-приложения: </p><ul><li><strong>Проверка подлинности</strong> ? выбирается тот тип, который больше подходит для задачи. Мы остановимся на классической проверке подлинности; </li><li><strong>Веб-сайт </strong><strong>IIS</strong> ? можно использовать существующий веб-сайт IIS, или создать новый, указав при этом его порт (имя при этом автоматически сменится) или оставив сгенерированный; </li><li>В <strong>Настройках безопасности</strong> выбираем поставщика системы проверки подлинности, а также решаем вопрос с анонимным доступом и использованием SSL; </li><li>В поле <strong>URL</strong><strong>-адрес</strong> по умолчанию включается текущее имя сервера и номер порта; </li><li>В разделе <strong>Пул приложений</strong> можно использовать как существующий пул, так и создать новый, указав при этом учетную запись безопасности для пула; </li><li>В разделе <strong>Имя базы данных и режим проверки подлинности</strong> предлагается сервер баз данных и имя базы данных, которые рекомендуется использовать в большинстве случаев. Кроме этого, настоятельно рекомендуется использовать проверку подлинности Windows для базы данных; </li><li>В качестве <strong>Сервера для отработки отказа</strong> можно указать сервер баз данных, который является зеркалом основного сервера баз данных. </li><li>В разделе <strong>Сервер поиска</strong> указана служба поиска, доступная для этого нового веб-приложения; </li><li>В разделе <strong>Подключения к приложениям-службам</strong> можно изменить группу подключений, выбрав только необходимые службы; </li><li>В разделе <strong>Программа улучшения качества ПО</strong> щелкните <strong>Да</strong>, чтобы отправлять информацию об ошибках в работе приложения в корпорацию Майкрософт в целях улучшения качества этого приложения. Выберите <strong>Нет</strong>, если не хотите участвовать в программе; </li><li>Чтобы создать новое веб-приложение, нажмите на кнопку ОК. </li></ul><p>После чего можно увидеть следующее диалоговое окно (рис. 3.3.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image23.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb23.png?w=509&amp;h=357 alt=image width=509 height=357 title=image/></a></p><p>Рис. 3.3. Диалоговое окно после успешного создания веб-приложения.</p><h2>Семейство веб-сайтов</h2><br><p>Кликаем по ссылке Создание семейства веб-сайтов и видим следующее окно (рис. 3.4.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image24.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb24.png?w=628&amp;h=665 alt=image width=90% title=image/></a></p><p>Рис. 3.4. Диалоговое окно создания семейства веб-сайтов </p><p>Рассмотрим подробнее настройки, предлагаемые для создания нового семейства веб-сайтов: </p><ul><li>В разделе <strong>Название и описание</strong> введите название и описание, причем название будет отображаться на каждой странице сайта; </li><li>В разделе <strong>Адрес веб-сайта</strong> указывается URL-адрес - корневой относительно адреса веб-приложения либо в формате &lt;Адрес веб приложения&gt;/sites/&lt;Название сайта&gt;; </li><li>В разделе <strong>Выбор шаблона</strong> видим пять групп шаблонов. Выберите шаблон сайта, ориентируясь на описания. Многие аспекты сайта можно настроить после создания, однако изменить шаблон после создания сайта невозможно. Для создания школьной библиотеки используем шаблон <em>Рабочая область для документов</em> из группы <em>Корпоративный</em>; </li><li>В разделе <strong>Главный администратор семейства веб-сайтов</strong> указывается единственный администратор семейства веб-сайтов. Группы безопасности не поддерживаются; </li><li>В разделе <strong>Дополнительный администратор семейства веб-сайтов</strong> при необходимости указывается единственный дополнительный администратор. Группы безопасности не поддерживаются; </li><li>В разделе <strong>Шаблон квот</strong> можно выбрать встроенный шаблон квот для ограничения ресурсов, используемых этим семейством веб-сайтов. Создать новые шаблоны квот можно на странице <em>Управления шаблонами квот</em> в Центре администрирования; </li><li>Чтобы создать новый сайт верхнего уровня, кликаем на ОК. </li></ul><p>После чего появляется диалоговое окно, из которого можно перейти на только что созданный сайт (рис. 3.5.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image25.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb25.png?w=628&amp;h=175 alt=image width=90% title=image/></a></p><p>Рис. 3.5. Главная страница сайта Школьная библиотека </p><p>Основа для создания библиотеки готова. Остается создать списки для хранения информации о книгах и читателях, и задать соответствующие разрешения для пользователей.</p><h2>Разрешения</h2><br><p>В качестве хранилища учетных записей пользователей рассмотрим Active Directory (можно ознакомиться со статьей <a href=http://technet.microsoft.com/ru-ru/library/cc783323%28WS.10%29.aspx target=_blank>Создание учетных записей пользователя и группы</a>). Стоит отметить, что использование AD также является одной из составляющих интеграции SharePoint. </p><p>Остается настроить разрешения сайта, для чего нужно кликнуть на <em>Действия сайта</em> и выбрать соответствующий пункт меню (рис. 3.6.). </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image26.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb26.png?w=264&amp;h=603 alt=image width=264 height=603 title=image/></a></p><p>Рис. 3.6. Меню <em>Действия сайта</em></p><p>После чего мы попадаем на страницу разрешений для сайта верхнего уровня (рис. 3.7.) </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image27.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb27.png?w=628&amp;h=204 alt=image width=90% title=image/></a></p><p>Рис. 3.7. Разрешения сайта </p><p>Как правило, разрешения задаются для групп пользователей, и им назначаются необходимые права доступа. При этом лучше руководствоваться правилом минимальных прав, назначая права для пользователей, не превосходящих их нужд. </p><p>В SharePoint 2010 есть встроенные уровни разрешений: </p><p>1. Ограниченный доступ - Возможность просмотра списков, библиотек документов, списков элементов, папок и документов при наличии разрешений; </p><p>2. Чтение - Разрешается просматривать страницы и элементы списков и загружать документы; </p><p>3. Совместная работа - Возможность просмотра, добавления, обновления и удаления элементов списков и документов; </p><p>4. Проектирование - Возможность просмотра, добавления, обновления, удаления, утверждения и настройки; </p><p>5. Полный контроль - Полный доступ. </p><p>На нашем сайте необходимо иметь три группы пользователей: </p><p>1. Администраторы сайта с разрешением на уровне проектирования; </p><p>2. Сотрудники библиотеки с разрешениями на уровне совместная работа; </p><p>3. Читатели с разрешениями на уровне чтение. </p><p>Кроме этого, можно создать свои уровни разрешений. Подробную информацию по уровням разрешений и пользовательским разрешениям можно найти на сайте <a href=http://technet.microsoft.com/ru-ru/library/cc288074.aspx target=_blank>TechNet</a>. </p><p>Стоит отметить, что права наследуются, внутри сайта по умолчанию, но также можно создавать уникальные разрешения для таких объектов, как сайт, список или библиотека, папка и элемент или документ. Подробную информацию о планировании разрешений сайта можно найти на <a href=http://technet.microsoft.com/ru-ru/library/cc287752.aspx target=_blank>TechNet</a>.</p><h2>Навигация</h2><br><p>При желании можно изменить ссылки на панели быстрого запуска, убрав или добавив туда ссылки для перехода. Чтобы попасть в меню редактирования ссылок, нужно кликнуть на <em>Действия сайта</em> и выбрать <em>Параметры сайта</em>. После чего в группе <em>Внешний вид и функции</em> выбрать <em>Быстрый запуск</em>. </p><p>На появившейся странице (рис. 3.8.) есть возможность редактирования существующих ссылок и заголовков, а также можно изменить их порядок. Предполагается только один уровень вложенности ссылок. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image28.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb28.png?w=628&amp;h=204 alt=image width=90% title=image/></a></p><p>Рис. 3.8. Страница редактирования ссылок панели быстрого запуска</p><h2>Создание списка в браузере</h2><br><p>Рассмотрим самый простой вариант создания списка. </p><p>Для начала нужно создать <em>Настраиваемый список</em>, для чего в меню <em>Действия сайта</em> выбрать <em>Дополнительные параметры</em>. В появившемся диалоговом окне (рис. 3.9.) выберем нужный тип списка, и укажем его название. При нажатии на кнопку <em>Дополнительно</em> можно указать описание списка, а также выбрать, будет ли он показываться в панели быстрого запуска. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image29.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb29.png?w=628&amp;h=395 alt=image width=90% title=image/></a></p><p>Рис. 3.9. Диалог создания нового списка </p><p>Остается создать столбцы, нужные для списка <em>Книги</em>. В качестве атрибутов книги используются название, автор, издательство, год, страницы, ISBN, тираж и жанр. </p><p>На ленту для удобства вынесены кнопки для управления списком (рис. 3.10.) Для создания столбца можно нажать на кнопку <em>Создать столбец</em> и в появившемся диалоговом окне указать имя и тип столбца, а также некоторые другие параметры. </p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image30.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb30.png?w=628&amp;h=71 alt=image width=90% title=image/></a></p><p>Рис.3.10. Элементы на ленте для работы со списками </p><p>Больше настроек для работы со списками можно найти в меню <em>Параметры списка </em>(рис. 3.11.). Выделяются следующие группы: </p><ul><li>Общие параметры - можно указать название, описание и переходы, параметры управления версиями, параметры формы и т.д.; </li><li>Разрешения и управление - работа с разрешениями списка, параметрами рабочих процессов и т.д.; </li><li>Обмен информацией - управление RSS-каналом списка; </li><li>Столбцы - создание столбцов, изменение их порядка; </li><li>Представления - управление выборками элементов списка. </li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image31.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb31.png?w=628&amp;h=361 alt=image width=90% title=image/></a></p><p>Рис.3.11. Параметры списка </p><p>Таким образом, создав нужные для списка столбцы, сайт можно считать готовым. </p> http://www.microsoft.com/rus/business/smb/blog/72/ Microsoft for Business <h2>Введение</h2><br><p>В любой компании, основополагающей частью организации считаются сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями. Для того чтобы каждый пользователь мог персонализировать фон рабочего стола, экранную заставку и прочие элементы, применяются профили пользователей. По сути, профили пользователей отличаются от учетных записей пользователей тем, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. Профили представляют ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Например, администратор может установить параметры пользователя по умолчанию, который бы соответствовал его задачам, не сохранял изменения, сделанные в рабочем окружении, а также загружал все параметры на локальный компьютер при каждом входе в систему. К пользовательским преимуществам можно отнести тот факт, что один компьютер может служить нескольким пользователям, то есть конкретный пользователь, который выполняет вход получает полностью настроенную рабочую среду, которая была сохранена именно для него, причем настройка рабочей среды одним пользователем не оказывает воздействия на параметры рабочей среды другого. Стоит обратить внимание на то, что у каждой учетной записи пользователя может быть не менее одного профиля.</p><p>Большинство системных администраторов при развертывании и управлении клиентскими местами своих пользователей пренебрегают такой мелочью, как централизованным контролем над пользовательскими рабочими столами. С одной стороны их можно понять, так как пользователи будут смотреть на подобные действия, как на попытку полного контроля их единственным свободным пространством, которое у них есть на рабочем месте, что приведет к появлению конфликтных ситуаций. Но если посмотреть на этот факт с другой стороны, то попытки предоставления пользователю возможности изменения каких-либо настроек может привести к некорректной конфигурации, что может некоторым образом усложнить жизнь вам, как системному администратору. Вполне очевидно, что большинство нюансов, связанных с балансировкой контролем пользователя за своим профилем и централизованным управлением рабочими столами пользователя зависит от корпоративных правил вашей организации и все эти настройки могут быть жестко прописаны средствами групповых политик. Но даже если все было указано в корпоративных правилах, пользователи все равно будут постоянно с вами ругаться, так как они рано или поздно захотят поставить себе на рабочий стол какой-то красивый пейзаж или фотографию любимого троюродного племянника из-за чего вам будут регулярно приходить заявления подписанные начальниками отделов с просьбой облегчить жизнь сотруднику и позволять ему персонализировать свой рабочий стол. Использование групповых политик, безусловно, облегчит вам жизнь, поэтому к основной задачи, связанной с этим вопросом следует отнести процесс убеждения пользователей в том, что управление их рабочими столами обеспечат больший комфорт для последующей работы.</p><p>В операционных системах Windows существуют четыре типа профилей, изменять параметры которых могут как системные администраторы, так и конечные пользователи:</p><p><strong>Временный профиль пользователя</strong>: профиль, который предоставляется пользователю лишь в том случае, когда операционной системе, из-за какой-либо системной ошибки не удалось загрузить во время входа и, соответственно, при выходе пользователя из системы такой профиль будет удален;</p><p><strong>Локальный профиль пользователя</strong>: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;</p><p><strong>Перемещаемый профиль пользователя</strong>: профиль, который специально создается системным администратором для конечного пользователя, и храниться на сервере. Данные профили удобны тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход на любом компьютере в организации;</p><p><strong>Обязательный профиль пользователя</strong>: перемещаемый профиль, который содержит определенные параметры для конкретных пользователей или групп пользователей, в котором изменения вносятся исключительно администраторами.</p><p>Чего же хотят от вас в первую очередь конечные пользователи? Для них важнейшим моментом при входе в систему из любого компьютера, расположенного в сети организации является тот момент, чтобы их рабочий стол имел те настройки, что и на своем персональном компьютере, причем для них еще очень важно иметь доступ к своим данным независимо от своего расположения. По этой причине, правильное управление пользовательскими профилями для конечного пользователя значительно важнее, нежели для администратора. Всю эту функциональность вы можете реализовать при помощи <strong>перемещаемых пользовательских профилей</strong>. В этой статье вы узнаете о том, каким данные содержат пользовательские профили, разницу между локальными и перемещаемыми профилями, а также об управлении перемещаемыми профилями, средствами групповых политик.</p><h2>Содержимое пользовательских профилей</h2><br><p>Жизненный цикл пользовательского профиля начинается с копирования папки профиля пользователя по умолчанию, а именно папки Default User, которая хранится на любом компьютере, работающем под управлением операционной системы Windows. Информация в пользовательском профиле соответствует улью HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне папки профиля пользователя, а именно в файле <strong>Ntuser.dat</strong>. в этом файле хранятся параметры конфигурации операционной системы, параметры приложений, а также рабочего стола текущего пользователя. Также профиль пользователя содержит скрытые папки, которые содержат такую информацию, как настройки рабочего стола и меню пуск, конфигурацию приложений и многое другое, а также папки, которые изначально доступны пользователю и предназначены для хранения документов, музыкальных и видео файлов, загружаемые из интернета файлы и многое другое.</p><p>Многие из вас знают, какие папки расположены в пользовательских профилях в операционной системе Windows XP и что все они находятся в папке Documents and Settings. Но в операционных системах, начиная с Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> такой папки не существует, что немного вводит в заблуждение людей, которые работают с данными операционными системами впервые. Теперь все пользовательские профили расположены в папке Users, причем появилось множество папок, доступных пользователям, которых не было ранее. Например, все помнят, что в той же операционной системе <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>, в пользовательских профилях были такие папки, как <strong>Мои документы</strong>, <strong>Моя музыка</strong>, <strong>Мои картинки</strong> и т.д., что вызывало множество забавных конфликтных ситуацию между пользователями и администраторами. Теперь все эти папки имеют другое название, что позволит избежать некоторых конфликтов с конечными пользователями. Все эти папки предоставлены в следующей таблице:</p><table><tbody><tr><td colspan=3><p><strong>Стандартные папки пользователей</strong></p></td></tr><tr><td><p><strong>Windows Vista/7/<a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a>/2008 R2</strong></p></td><td><p><strong>Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a>/Server 2003</strong></p></td><td><p><strong>Краткое описание</strong></p></td></tr><tr><td><p>Contacts (Контакты)</p></td><td><p>Отсутствует</p></td><td><p>Папка, для хранения контактов пользователей по умолчанию</p></td></tr><tr><td><p>Desktop (Рабочий стол)</p></td><td><p>Desktop</p></td><td><p>Папка, которая содержит элементы рабочего стола</p></td></tr><tr><td><p>Documents (Рабочий стол)</p></td><td><p>My Documents</p></td><td><p>Папка, предназначенная для хранения всех созданных пользователем документов по умолчанию</p></td></tr><tr><td><p>Downloads (Загрузки)</p></td><td><p>Отсутствует</p></td><td><p>Папка, предназначенная для хранения всех файлов, загруженных пользователем из Интернета по умолчанию</p></td></tr><tr><td><p>Favorites (Избранное)</p></td><td><p>Отсутствует</p></td><td><p>Папка, содержащая избранное браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a></p></td></tr><tr><td><p>Links (Ссылки)</p></td><td><p>Отсутствует</p></td><td><p>Папка, в которой хранятся избранные ссылки браузера Internet Explorer</p></td></tr><tr><td><p>Music (Моя музыка)</p></td><td><p>My Music</p></td><td><p>Папка, предназначенная для хранения музыкальных файлов пользователя по умолчанию</p></td></tr><tr><td><p>Pictures (Изображения)</p></td><td><p>My Pictures</p></td><td><p>Папка, предназначенная для хранения файлов изображений пользователя по умолчанию</p></td></tr><tr><td><p>Saved Games (Сохраненные игры)</p></td><td><p>Отсутствует</p></td><td><p>Папка, в которой расположены сохранения для игр пользователя по умолчанию</p></td></tr><tr><td><p>Searches (Поиски)</p></td><td><p>Отсутствует</p></td><td><p>Папка, предназначенная для хранения поисковых запросов пользователя</p></td></tr><tr><td><p>Videos (Мои видеозаписи)</p></td><td><p>My Videos</p></td><td><p>Папка, предназначенная для хранения файлов фидео пользователя по умолчанию</p></td></tr><tr><td><p>Virtual Machines (Виртуальные машины)*</p></td><td><p>Отсутствует</p></td><td><p>Папка, предназначенная для хранения виртуальных машин пользователя по умолчанию (данная папка отсутствует в операционной системе <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a>)</p></td></tr><tr><td colspan=3><p><strong>Точки соединения</strong></p></td></tr><tr><td><p>AppData</p></td><td><p>Отсутствует</p></td><td><p>Данная папка является скрытой и в ней по умолчанию содержаться данные приложений пользователей. Эта папка содержит вложенные папки Local и Roaming, содержимое которых описано ниже, а также папка LocalLow, которая хранит параметры приложений для защищенных процессов и не перемещаются при развертывании перемещаемых профилей</p></td></tr><tr><td><p>AppData\Roaming</p></td><td><p>Application Data</p></td><td><p>В этой точке соединения хранятся программные данные, которые определяются разработчиками приложений</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Cookies</p></td><td><p>Cookies</p></td><td><p>Содержит сведения о пользователе и параметры его настройки</p></td></tr><tr><td><p>AppData\Local</p></td><td rowspan=4><p>Local Settings</p></td><td rowspan=4><p>В этих точках соединения вы можете найти файлы данных приложений, файлы журналов, а также временные файлы, которые входят в перемещаемый профиль</p></td></tr><tr><td><p>AppData\Local\Microsoft\Windows\History</p></td></tr><tr><td><p>AppData\Local\Temp</p></td></tr><tr><td><p>AppData\Local\Microsoft\Windows\Temporary Internet Files</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Network Shortcuts</p></td><td><p>NetHood</p></td><td><p>Эта точка соединения содержит ярлыки для элементов сетевого окружения</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Printer Shortcuts</p></td><td><p>PrintHood</p></td><td><p>Эта точка соединения содержит ярлыки для элементов папки принтеров</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Recent</p></td><td><p>Recent</p></td><td><p>Эта точка соединения содержит ярлыки для последних используемых документов и папок</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Send To</p></td><td><p>SendTo</p></td><td><p>Эта точка соединения содержит ярлыки служебных программ по работе с документами</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Start Menu</p></td><td><p>Start Menu</p></td><td><p>Эта точка соединения содержит ярлыки для программ из меню Пуск</p></td></tr><tr><td><p>AppData\Roaming\Microsoft\Windows\Templates</p></td><td><p>Templates</p></td><td><p>Данная точка соединения включает шаблоны пользователя</p></td></tr><tr><td><p>\Documents</p></td><td><p>My Documents</p></td><td><p>Содержит документы и подпапки пользователя</p></td></tr></tbody></table><br /><p>Как вы заметили из предыдущей таблицы, помимо стандартных пользовательских папок, в профилях пользователей еще есть точки соединения - папки, которые используются для разрешения доступа к общим папкам. Точки соединения, на первый взгляд, выглядят аналогично папкам, но на самом деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в другое место на диске. При использовании приложений из предыдущих версий Windows, точки соединения позволяют приложениям записывать информацию в папки, которые используют новые имена в профилях пользователей в операционных системах Windows <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a> и выше (версии 2).</p><h2>Основные отличия между локальными и перемещаемыми профилями</h2><br><p>Ранее я вкратце описал определение локальных и перемещаемых профилей. В этом разделе я подробнее опишу значение, применение и некоторые отличия этих двух типов пользовательских профилей.</p><h2>Локальные пользовательские профили</h2><br><p>Как уже упоминалось ранее, локальный пользовательский профиль создается на каждом компьютере при входе пользователя в систему. Этот профиль основан на скрытом пользовательском профиле Default, расположенном в папке %SystemDrive%\User, который копируется в папку профиля нового пользователя. При этом, некоторые параметры настроек рабочего стола пользователя определяются не только его профилем, а также и общими группами программ из папки All Users. При выходе пользователя из системы, все настройки, выполненные пользователем, сохраняются в его папке профиля, а профиль в папке Default User остается без изменений. Профили пользователей связаны с идентификаторами безопасности SID. Поэтому, когда пользователь вновь входит на локальный компьютер, то этот профиль извлекается и предоставляет пользователю тот же рабочий стол, который был сохранен при его выходе. В том случае, если у пользователя на локальном компьютере помимо учетной записи в домене есть собственная учетная запись, то локальные профили этих учетных записей отличаются. Если компьютер присоединен к домену, то прежде всего проверяется сетевая версия пользовательского профиля по умолчанию, которая локализована в общем ресурсе NETLOGON на контроллере домена.</p><p>К основному преимуществу локальных пользовательских профилей можно отнести то, что любой пользователь, который входит на локальный компьютер, поддерживает уникальные личные параметры. Такие профили целесообразно держать на домашних компьютерах или в малых офисах, где все пользователи входят в рабочие группы. Но в том случае, когда пользователи внутри организации перемещаются среди множества компьютеров, поддержка большого количество профилей на каждом компьютере не считается удачным решением. Для решения такой задачи есть смысл воспользоваться таким решением, как <strong>перемещаемыми пользовательскими профилями</strong>.</p><h2>Перемещаемые пользовательские профили</h2><br><p>Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.</p><p>Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.</p><p>При планировании перемещаемых профилей вам также стоит проанализировать ситуацию с применением временных пользовательских профилей наряду с обязательными профилями. Если ваш профильный сервер становится недоступным, то пользователи, которые входят в группу с обязательными профилями не смогут выполнить вход в систему. Специально для этих случаев вам нужно создать принудительными профили, которые запрещают пользователям входить на компьютеры в случае недоступности перемещаемых профилей, что позволяет обеспечить дополнительный, улучшенный уровень безопасности.</p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/71/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.</p><p>В серверных операционных системах компании Microsoft, начиная с <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig - DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.</p><h2>Настройка политики проводной сети</h2><br><p>Задать настройки политики проводных сетей вы можете непосредственно из оснастки <strong>Редактор управления групповыми политиками</strong>. Для того чтобы настроить данные параметры, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Редактор управления групповыми политиками</strong> и в дереве консоли выберите узел <strong>Политики проводной сети (IEEE 802.3)</strong>, нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создание новой политики проводных сетей для <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a> и более поздних версий</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://oszone.net/figs/u/72715/100713060530/secpol6-01.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-01_mini_oszone.JPG alt=* width=480 height=279/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание политики проводной сети</strong></p><li>В открывшемся диалоговом окне <strong>Новая политика для проводных сетей Properties</strong>, на вкладке <strong>Общие</strong>, вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>. На этой вкладке вы можете выполнять следующие действия:</li><ul><li><strong>Имя политики</strong>. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла <strong>Политики проводной сети (IEEE 802.3)</strong> оснастки <strong>Редактор управления групповыми политиками</strong>;</li><li><strong>Описание</strong>. Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;</li><li><strong>Использовать службу автонастройки проводных сетей Windows для клиентов</strong>. Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;</li><li><strong>Запретить использование общих учетных данных пользователя для проверки подлинности сети</strong>. Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды <strong>netsh lan set allowexplicitcreds</strong>;</li><li><strong>Включить период блокировки</strong>. Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.</li></ul><p>На следующей иллюстрации отображена вкладка <strong>Общие</strong> политики проводной сети:</p><br/><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-02.jpg alt=* width=404 height=500/></p><p><strong>Рис. 2. Вкладка Общие диалогового окна параметров политики проводной сети</strong></p><li>На вкладке <strong>Безопасность</strong> предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:</li><ul><li><strong>Включать проверку подлинности IEEE 802.1X для доступа к сети</strong>. Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;</li><li><strong>Выберите метод проверки подлинности сети</strong>. При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:</li><ul><li><strong>Microsoft: Защищенные EAP (PEAP)</strong>. Для этого метода проверки подлинности, окно <strong>Свойства</strong> содержит параметры конфигурации используемого метода проверки подлинности;</li><li><strong>Microsoft: смарт-карты или другой сертификат</strong>. Для этого метода проверки подлинности, в окне <strong>Свойства</strong> предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.</li></ul><p>По умолчанию выбран метод <strong>Microsoft: защищенные EAP (PEAP)</strong>;</p><li><strong>Режим проверки подлинности</strong>. Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:</li><ul><li><strong>Проверка подлинности пользователя или компьютера</strong>. В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.</li><li><strong>Только для компьютера</strong>. В этом случае проверка подлинности выполняется только для учетных данных компьютера;</li><li><strong>Проверка подлинности пользователя</strong>. При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;</li><li><strong>Проверка подлинности гостя</strong>. Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.</li></ul><li><strong>Максимальное число ошибок проверки подлинности</strong>. Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию - 1;</li><li><strong>Кэшировать данные пользователя для последующих подключений к этой сети</strong>. При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.</li></ul></ol><p>На следующей иллюстрации отображена вкладка <strong>Безопасность</strong> данного диалогового окна:</p><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-03.jpg alt=* width=404 height=500/></p><p><strong>Рис. 3. Вкладка Безопасность диалогового окна параметров политики проводной сети</strong></p><h2>Свойства режимов проверки подлинности</h2><br><p>Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку <strong>Свойства</strong>. В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.</p><h2>Настройки метода проверки подлинности Microsoft: Защищенные EAP (PEAP)</h2><br /> <p>EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) - это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:</p><ul><li><strong>Проверять сертификат сервера</strong>. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу. Этот флажок лучше оставлять включенным, так как при отсутствии проверки на подлинность серверов, уровень безопасности пользователей значительно понижается;</li><li><strong>Подключаться к серверам</strong>. Данная настройка позволяет вам указать имена серверов службы RADIUS, которые обеспечивают авторизацию и сетевую проверку подлинности. При указании имени сервера вы можете использовать как полный синтаксис регулярного выражения, так и использовать символ *;</li><li><strong>Доверенные корневые центры сертификации</strong>. В данном списке отображены все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера. Здесь вы можете указать те ЦС, которые будут использовать соискатели при проверке. Если у вас не выбран ни один доверенный корневой центр сертификации, то клиент будет проверять, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым центром сертификации.</li><li><strong>Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации</strong>. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;</li><li><strong>Выбор способа проверки подлинности</strong>. В этом раскрывающемся меню вы можете открыть диалоговое окно настроек для одного из следующих методом проверки:</li><ul><li><strong>Защищенный пароль (EAP-MSCHAP v2)</strong>. Это настройки типа EAP, которые используются в PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol - протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows, который поддерживает функциональные возможности, привычные пользователям, локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows) для проверки подлинности по паролю. По сути, из всех настроек присутствует только одна опция, которая позволяет использовать текущие имя и пароль входа в Windows в качестве учетных данных сетевой проверки подлинности. Данная опция отключена только в VPN соединениях.</li><br/><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-05.jpg alt=* width=291 height=165/></p><p><strong>Рис. 4. Свойства EAP-MSCHAPv2</strong></p><li><strong>Свойства смарт-карты или другого сертификата - настройки EAP-TLS</strong>. Данные настройки будут рассмотрены в следующем подразделе.</li></ul><li><strong>Включить быстрое переподключение</strong>. Данная опция позволяет пользователям с беспроводными компьютерами быстро перемещаться между точками доступа без повторной проверки подлинности в новой сети. Такое переключение может работать только для точек доступа, которые настроены как клиенты службы RADIUS. По умолчанию эта опция включена;</li><li><strong>Включить защиту доступа к сети</strong>. При выборе этой опции, перед разрешением подключения к сети соискателей EAP, для определения проверки требований работоспособности, будут выполняться соответствующие проверки;</li><li><strong>Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV</strong>. Эта опция отвечает за прерывание подключающимися клиентами процесса проверки подлинности в том случае, если RADIUS-сервер не предоставляет криптографическое значение привязки TLV, которая повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны;</li><li><strong>Включить удостоверение конфиденциальности</strong>. Данный параметр отвечает за то, чтобы клиенты не могли отправлять свое удостоверение перед тем, как клиент проверил подлинность сервера RADIUS, и при необходимости обеспечивать место для ввода значения анонимного удостоверения.</li></ul><p>Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-04.jpg alt=* width=383 height=550/></p><p><strong>Рис. 5. Диалоговое окно свойств защищённого EAP</strong></p><h3>Настройки метода проверки подлинности Смарт-карты или другой сертификат - настройки EAP-TLS</h3><p>Для настройки данного метода проверки подлинности существуют следующие параметры:</p><ul><li><strong>При подключении использовать мою смарт-карту</strong>. Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;</li><li><strong>При подключении использовать сертификат на этом компьютере</strong>. При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;</li><li><strong>Использовать выбор простого сертификата</strong>. Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;</li><li><strong>Проверять сертификат сервера</strong>. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу</li><li><strong>Подключаться к серверам</strong>. Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;</li><li><strong>Доверенные корневые центры сертификации</strong>. Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;</li><li><strong>Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации</strong>. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;</li><li><strong>Использовать для подключения другое имя пользователя</strong>. Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.</li></ul><p>Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-06.jpg alt=* width=384 height=556/></p><p><strong>Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов</strong></p><p>Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку <strong>Просмотреть сертификат</strong> сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:</p><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-07.jpg alt=* width=409 height=508/></p><p><strong>Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации</strong></p><h2>Дополнительные параметры безопасности политики проводных сетей</h2><br><p>Вы наверняка обратили внимание на то, что на вкладке <strong>Безопасность</strong> диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы - настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:</p><p>В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:</p><ul><li><strong>Применить дополнительные параметры 802.1X</strong>. Эта опция позволяет активировать следующие четыре настройки;</li><li><strong>Макс. EAPOL-сообщений</strong>. EAPOL - это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного логина весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;</li><li><strong>Период задержки (сек)</strong>. Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;</li><li><strong>Start Period (период начала)</strong>. Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;</li><li><strong>Период проверки (сек)</strong>. Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;</li><li><strong>Сообщение EAPOL-Start</strong>. При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:</li><ul><li><strong>Не передавать</strong>. При выборе данного параметра, EAPOL сообщения не будут передаваться;</li><li><strong>Передано</strong>. При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;</li><li><strong>Передача по протоколу IEEE 802.1X</strong>. при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.</li></ul></ul><p>При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:</p><ul><li><strong>Включить единую регистрацию для сети</strong>. При включении данной опции активируются настройки единого входа в систему;</li><li><strong>Включить непосредственно перед входом пользователя</strong>. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;</li><li><strong>Включить сразу после входа пользователя</strong>. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;</li><li><strong>Макс. задержка подключения</strong>. Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;</li><li><strong>Разрешить отображение дополнительных диалоговых окон при едином входе</strong>. Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;</li><li><strong>Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей</strong>. При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.</li></ul><p>Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/100713060530/secpol6-08.jpg alt=* width=407 height=461/></p><p><strong>Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей</strong></p><h2>Заключение</h2><br><p>В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.</p> http://www.microsoft.com/rus/business/smb/blog/70/ Microsoft for Business <p>В <a href=http://www.microsoft.com/rus/business/smb/blog/62/>предыдущей главе</a> были рассмотрены вводные сведения о платформе SharePoint 2010.</p><p>В этой главе рассматривается установка, внешний вид и возможности для разработчиков.</p><p>В этой части руководства рассматриваются следующие темы:</p><ul><li>Установка SharePoint 2010</li><ul><li>Запуск программы установки </li><li>Мастер конфигурации продуктов SharePoint </li><li>Мастер конфигурации фермы </li></ul><li>Внешний вид</li><li>Средства разработки</li></ul><h2>Установка SharePoint 2010</h2><br><p>Рассмотрим архитектуру платформы, прежде чем перейти к ее установке.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image1.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb1.png?w=557&amp;h=302 alt=image width=557 height=302 title=image/></a></p><p>Рис. 2.1. Иерархия решений SharePoint</p><p>Иерархия решений на SharePoint выглядит следующим образом (рисунок 2.1):<ul><li>Ферма серверов - элемент верхнего уровня логической архитектуры. По размерам делятся на малые (2 веб-сервера и сервер баз данных), средние (2 веб-сервера, 2 сервера приложений и несколько серверов баз данных) и крупные. По топологии - одноуровневые (SharePoint и сервер баз данных на одном компьютере), двухуровневые (SharePoint и сервер баз данных на разных серверах) и трехуровневые (веб-серверы, серверы приложений и сервера баз данных на разных уровнях);</li><li>Веб-приложение - веб-сайт служб IIS, который используется SharePoint;</li><li>Семейство сайтов - набор веб-сайтов с одним владельцем и общими параметрами администрирования;</li><li>Сайт - одна или несколько связанных веб-страниц и других элементов, которые хранятся внутри семейства сайтов;</li><li>Список - структура для хранения данных и методов работы с ними;</li><li>Библиотека - частный вид списка для хранения документов.</li></ul></p><p>Структуру стека программного обеспечения, на котором основывается SharePoint 2010 можно представить следующим образом (рисунок 2.3).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image2.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb2.png?w=292&amp;h=258 alt=image width=292 height=258 title=image/></a></p><p>Рис. 2.3. Структура программного обеспечения</p><p>Требования к аппаратному обеспечению:<ul><li>Процессор: 2.5 ГГц, x64</li><li>Память:</li><li>4 Гб - компьютер разработчика, </li><li>8 Гб - односерверная ферма </li><li>Диск: 80 Гб </li></ul></p> <p>С полным списком требований к оборудованию и программному обеспечению можно ознакомиться на странице <a href=http://technet.microsoft.com/ru-ru/library/cc262485.aspx>http://technet.microsoft.com/ru-ru/library/cc262485.aspx</a>.</p><p>Можно загрузить тестовый стенд в <a href=http://www.microsoft.com/downloads/en/details.aspx?FamilyID=751fa0d1-356c-4002-9c60-d539896c66ce>Microsoft Download Center</a> либо дистрибутив для самостоятельной установки в <a href=http://technet.microsoft.com/ru-ru/evalcenter/ee388573.aspx>Центре пробного программного обеспечения TechNet</a>. Рассмотрим подробнее второй случай. Для простоты ограничимся случаем односерверной фермы.</p><p>Опустим подробности установки Windows Server и SQL Server.</p><h2>Запуск программы установки</h2><br><p>После запуска программы установки появится следующее окно (рисунок 2.4).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image3.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb3.png?w=467&amp;h=352 alt=image width=467 height=352 title=image/></a></p><p>Рис. 2.4. Окно приветствия при установке SharePoint 2010</p><p>Выбираем пункт Установить необходимое ПО.</p><p>После установки всех зависимостей нужно выбрать Установить SharePoint Server, где потребуется ввести ключ, после чего ознакомиться с лицензионным соглашением.</p><p>В появившемся окне предлагается два типа установки:<ul><li>Автономно - используется один сервер. Существенный недостаток заключается в отсутствии возможности масштабирования;</li><li>Ферма серверов - создается ферма. Преимущество данного типа заключается в возможности масштабирования.</li></ul></p><p>В нашем случае (речь идет об односерверной ферме) выберем ферму серверов (рисунок 2.5).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image4.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb4.png?w=488&amp;h=397 alt=image width=488 height=397 title=image/></a></p><p>Рис. 2.5. Выбор типа установки SharePoint Server 2010</p><p>Далее выбираем полный тип установки и нажимаем на кнопку Установить (рисунок 2.6).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image5.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb5.png?w=490&amp;h=398 alt=image width=490 height=398 title=image/></a></p><p>Рис. 2.6. Выбор типа установки на сервер</p><p>Для удобства можно установить флажок для запуска мастера конфигурации.</p><h2>Мастер конфигурации продуктов SharePoint</h2><br><p>После установки SharePoint запустится мастер конфигурации. Если на предыдущем шаге вы забыли поставить флажок, мастер конфигурации можно найти в меню пуск в папке продуктов Microsoft SharePoint 2010.</p><p>Выбираем создание новой фермы, после чего указываем настройки для соединения с сервером баз данных:<ul><li>Формат имени [ServerName]\[InstanceName]. Например, на сервере с именем contoso используется SQL Server Express, тогда имя сервера будет выглядеть contoso\SQLEXPRESS;</li><li>Имя базы данных можно не изменять;</li><li>Указать данные пользователя SQL Server, обладающего правами dbcreator, securityadmin и db_owner.</li></ul></p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image6.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb6.png?w=493&amp;h=421 alt=image width=493 height=421 title=image/></a></p><p>Рис. 2.7. Мастер настройки продуктов SharePoint</p><p>В следующем окне задаем контрольную фразу фермы, которая нужна для добавления новых серверов в ферму.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image7.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb7.png?w=491&amp;h=418 alt=image width=491 height=418 title=image/></a></p><p>Рис. 2.8. Задание параметров безопасности фермы</p><p><p>В окне настройка веб-приложения центра администрирования SharePoint указываем имя порта, выбираем поставщика проверки подлинности:</p><ul><li>Порт можно оставить без изменений;</li><li>При выборе NTLM дополнительные настройки не потребуются, но эта служба проверки подлинности является менее быстрой и безопасной, чем Kerberos. Для простоты выберем NTLM.</li></ul></p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image8.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb8.png?w=509&amp;h=434 alt=image width=509 height=434 title=image/></a></p><p>Рис. 2.9. Настройка центра администрирования</p><p>Проверяем параметры и запускаем мастера.</p><p>После завершения работы мастера запустится браузер со страницей центра администрирования SharePoint и Мастер исходной конфигурации фермы.</p><h2>Мастер конфигурации фермы</h2><br><p>После запуск мастера введите учетную запись службы.</p><p>Просмотрите список служб по умолчанию, которые будут включены. Можно оставить его без изменений, при необходимости их можно будет сделать позже.</p><p>Далее можно создать коллекцию сайтов верхнего уровня.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image9.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb9.png?w=628&amp;h=375 alt=image width=90% title=image/></a></p><p>Рис. 2.10. Окно работающего портала SharePoint 2010 по умолчанию</p><p>Ознакомиться с другими сценариями развертывания SharePoint 2010 можно по следующим адресам http://technet.microsoft.com/ru-ru/library/cc287737.aspx <a href=http://technet.microsoft.com/ru-ru/library/cc262957.aspx>http://technet.microsoft.com/ru-ru/library/cc262957.aspx</a>.</p><h2>Внешний вид</h2><br><h2>Лента (Ribbon)</h2><br><p>Уже знакомая пользователям лента, появившаяся в Microsoft Office 2007, есть и в SharePoint 2010. Разделение ленты на вкладки и группы делает работу очень удобной (рисунок 2.11).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image10.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb10.png?w=626&amp;h=72 alt=image width=90% title=image/></a></p><p>Рис. 2.11. Внешний вид ленточного интерфейса портала SharePoint</p><p>Для разработчиков наличие ленты означает, что нужно изучать механизмы настройки ленты и подключения новой функциональности.</p><h2>Простота и удобство редактирования страниц</h2><br><p>Нельзя не заметить, что в SharePoint 2010 сделана ставка на удобство работы пользователя и простоту интерфейса.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image11.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb11.png?w=628&amp;h=375 alt=image width=90% title=image/></a></p><p>Рис. 2.12. Работа с текстом страницы</p><p>Текст можно редактировать прямо на странице, сразу же получая его конечное представление пользователю. Кроме того, при редактировании доступно множество инструментов вставки и форматирования. Пользователь может вставлять на страницу изображения, видео-файлы, а также веб-части.</p><h2>Диалоговые окна</h2><br><p>Большое количество всплывающих окон. Как и лента, они используют технологию AJAX. Они появляются при создании или редактировании элемента списка, сайта и т.д.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image12.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb12.png?w=628&amp;h=375 alt=image width=90% title=image/></a></p><p>Рис. 2.13. Создание пользовательских диалоговых окон</p><p>Разработчик может создавать собственные диалоговые окна.</p><h2>Поддержка разных браузеров</h2><br><p>Официально говорится о поддержке трех браузеров - Internet Explorer, Firefox и Safari. Это важный шаг, так как предыдущая версия SharePoint официально поддерживалась только в Internet Explorer.</p><p>Важность шага заключается в том, что некоторые пользователи выбрали себе в качестве браузера не Internet Explorer.</p><h2>Работа с группой элементов</h2><br><p>При работе со списками появилась возможность выбирать сразу несколько элементов.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image13.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb13.png?w=627&amp;h=82 alt=image width=90% title=image/></a></p><p>Рис. 2.14. Работа с группой элементов в интерфейсе SharePoint 2010</p><p>Разработчик должен предусмотреть возможность работы с группами элементов.</p><h2>Локализация интерфейса</h2><br><p>После установки языковых пакетов пользователю будет отображаться тот язык, который установлен в его локальных настройках. Удобная возможность для интернациональных компаний.</p><h2>Средства разработки</h2><br><p>SharePoint Designer 2010 бесплатен, можно загрузить по адресу <a href=http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=566D3F55-77A5-4298-BB9C-F55F096B125D&amp;displaylang=ru>http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=566D3F55-77A5-4298-BB9C-F55F096B125D&amp;displaylang=ru</a>.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image14.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb14.png?w=627&amp;h=419 alt=image width=90% title=image/></a></p><p>Рис. 2.15. Внешний вид SharePoint Designer 2010</p><p><ul><li>SharePoint Designer 2010 предоставляет следующий функционал:</li><li>Настройка списков и библиотек - предоставляется больше возможностей для работы по сравнению с работой в браузере;</li><li>Редактор рабочих процессов, который позволяет создавать рабочие процессы без использования программирования. Можно изменять существующие рабочие процессы или создавать новые с помощью редактора или импорта диаграмм Visio;</li><li>Редактирование исходного кода страниц;</li><li>Работа с сущностями Business Connectivity Services - работа с данными из базы данных, веб-службы, которые можно отображать в виде списка;</li><li>Работа с мастер-страницами (эталонными) - создание, изменение, удаление;</li><li>Работа с разрешениями пользователей - создание, изменение, удаление.</li></ul></p><p>В целом можно говорить о больших возможностях для разработки по сравнению с браузером, но не таких больших, которые предоставляет Visual Studio 2010.</p><p>Visual Studio 2010 начиная с редакции Professional. Пробную версию продукта можно скачать на странице <a href=http://www.microsoft.com/visualstudio/en-us/try>http://www.microsoft.com/visualstudio/en-us/try</a>.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image15.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb15.png?w=627&amp;h=374 alt=image width=90% title=image/></a></p><p>Рис. 2.16. Внешний вид Visual Studio 2010</p><p>Visual Studio 2010 предоставляет разработчику следующий функционал:</li><ul><li>Дизайнеры веб-частей, Business Connectivity Services и рабочих процессов позволяют создавать гибкие решения без каких-либо ограничений;</li><li>Генерация WSP пакетов решений, удобное развертывание проектов сразу на портал SharePoint 2010;</li><li>Просмотр сайтов в Server Explorer;</li><li>Поддержка песочницы - изолированное выполнение кода во избежание серьезных последствий;</li><li>Импорт WSP из SharePoint Designer 2010;</li><li>Работа с LINQ to SharePoint позволяет добиться абстрагирования от структуры хранения и выполнять типизированные запросы и проверки во время разработки.</p></li></ul><p>Нельзя не заметить, что самые большие возможности для разработки предоставляет Visual Studio. Для удобства можно комбинировать разработку с SharePoint Designer - некоторые действия удобнее и быстрее делать в нем.</p><p>В этой главе мы рассмотрели простейший сценарий установки, внешний вид и возможности средств разработки для SharePoint 2010.</p><p>В следующей главе рассмотрим создание сайта школьной библиотеки.</p> http://www.microsoft.com/rus/business/smb/blog/69/ Microsoft for Business <h2>Введение</h2><br><p>Из предыдущих статей данного цикла, вы уже научились эффективно управлять групповыми политиками средствами оснастки <strong>Управление групповой политики</strong>, а именно узнали о назначении и принципе действия групповых политик, связях объектов групповых политик, приоритетов и делегировании объектов групповых политик. Также для эффективного выполнения административных задач и для того, чтобы свести к минимуму временные затраты на исправление негативного результата применения новых политик после перемещения пользователя вы научились применять функционал моделирования групповых политик. Помимо этого было рассказано о компоненте, который можно назвать братом-близнецом моделирования групповых политик, а именно о результирующей групповой политике, которая собирает групповые политики, обрабатывает все данные и сохраняет всю информацию в базе данных CIMOM через инструментарий управления Windows (WMI), непосредственно на локальном компьютере. Кроме того, вы научились пользоваться таким великолепным функционалом, как архивация групповой политики, которая позволяет вам не только защитить развернутые вами объекты групповых политик, а также архивировать их с целью миграции или импорта в другие домены или леса Active Directory. Всех этих знаний больше чем достаточно для полноценного управления настройками и параметрами безопасности ваших клиентских компьютеров и серверов, для того чтобы максимально упростить их администрирование. Но в том случае, если захотите импортировать объекты групповой политики из одного домена в другой, вам следует воспользоваться функционалом <strong>редактора таблиц миграции</strong>, который предназначен для облегчения процесса редактирования и развертывания таблиц миграции, и поставляется совместно с оснасткой управления групповыми политиками. При миграции объектов групповой политики из одного домена в другой вы можете столкнуться с трудностями, которые могут быть связаны с тем, что некоторая информация в объекте групповой политики на самом деле принадлежит тому домену, которому принадлежит объект групповой политики. В связи с этим использование идентичных параметров на домене, в который мигрирует новый объект групповой политики, считается нежелательным, так как в этом объекте может быть указана информация, которая ссылается на принципалов безопасности из другого домена. В этом случае целесообразно использовать таблицы миграции, которые предназначены для копирования и импорта объектов групповой политики из одного домена в другой в тех случаях, когда объекты содержат определенные сведения о домене, которые необходимо обновить во время копирования или импорта. К таким объектам относятся ссылки на пользователей, компьютеры и группы безопасности, включая пути UNC из исходного объекта групповой политики в новые значения конечного объекта. Если посмотреть на принципалов безопасности, которые передаются по доменам подробнее, то к ним можно отнести пользователей, группы и компьютеры, которые имеют ссылки в объекте групповой политики, в таблице управления доступом для любых настроек установки программного обеспечения объекта групповой политики, а также в таблице управления доступом объекта групповой политики. Принципалы безопасности могут содержать такие элементы, как группы с ограниченным доступом, системные службы, файловая система, реестр Windows, а также политики назначения прав пользователя.</p><p>По сути, таблица миграции - это файл, который состоит из одной или нескольких записей сопоставлений, состоящих из типа и имени исходного объекта, а также имени объекта назначения. Если во время импорта или копирования объекта групповой политики будет указана таблица миграции, то во время записи параметров конечного объекта групповой политики, каждая ссылка исходной записи будет заменена записью объекта назначения. Таблицы миграций сохраняются в XML-файлах с расширением .migtable. Создавать, редактировать и удалять таблицы миграции вы можете при помощи удобного пользовательского интерфейса утилиты <strong>Редактор таблиц миграций</strong>, утилиты командной строки Mtedit.exe, а также при помощи любого доступного XML-редактора.</p><h2>Содержимое файла таблицы миграции</h2><br><p>Каждая таблица миграции, может включать в себя одну или несколько записей сопоставлений, причем, как было указано в предыдущем разделе, каждая запись сопоставления обязана содержать такие три вида данных, как имя исходного объекта, тип исходного объекта, а также имя объекта назначения. Рассмотрим отдельно каждый из этих видов данных:</p><ul><li><strong>Имя исходного объекта</strong>. В этом разделе содержатся сведения, которые включают точное имя принципала безопасности, относящегося к домену с исходным объектом групповой политики. Вы можете указать такие элементы, как пользователя, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст. Если вы вводите имя источника вручную, то вы должны ввести точно имя, которое соответствует одному из следующих форматов:</li><ul><li>User Principal Name (UPN): domainuser@domainname.com;</li><li>SAM: domainname\domainuser;</li><li>DNS: domainname.com\domainuser;</li><li>SID: S-1-5-21-3252370472-1227776530-4161870084-500;</li><li>Произвольный текст: domainuser.</li></ul><p>Если вы сомневаетесь в правильности написания имени исходного объекта, в редакторе таблиц миграции, вы можете нажать правой кнопкой мыши на ячейке с именем исходного объекта, выбрать из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> команду <strong>Обзор</strong> и, в диалоговом окне выбора пользователя, компьютера или группы с уже знакомым для вас интерфейсом, выбрать требуемый принципал безопасности;</p><li><strong>Тип исходного объекта</strong>. В данном разделе вы можете указать тип объекта, выбрав нужный тип из раскрывающегося списка. Из списка вы можете выбрать такие типы исходного объекта, как пользователь, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст, причем тип исходного объекта проставляется автоматически в том случае, если для поиска принципала безопасности использовали команду <strong>Обзор</strong>;</li><li><strong>Имя объекта назначения</strong>. В текущем разделе вы можете определить имя пользователя, группу, компьютер или UNC путь исходного объекта групповой политики, которое должно обрабатываться при переходе к конечному домену групповой политики. Вы можете копировать принципал безопасности без изменений, что равносильно отсутствию исходного значения в таблице миграции; удалить пользователя, компьютер или группу из объекта групповой политики не указав никакого значения; сопоставлять данные по соответствующим именам, что не используется совместно с UNC путями; а также явно указать значение, что позволяет заменить исходное значение точным значением, указанным пользователем.</li></ul><h2>Использование редактора таблиц миграции</h2><br><p>Утилита <strong>Редактор таблиц миграции</strong> считается наиболее удобным методом создания, изменения и сохранения таблиц миграций, так как представляет собой утилиту с простым и понятным пользовательским интерфейсом. Для того чтобы открыть созданный ранее файл таблицы миграции, вам достаточно лишь выполнить двойной щелчок на XML-файле таблицы миграции, после чего откроется утилита <strong>Редактор таблицы миграции</strong>. А для того чтобы открыть данную утилиту, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>;</li><li>2В дереве консоли разверните узел <strong>Домены</strong> или узел <strong>Объекты групповой политики</strong>, щелкните на одном из этих объектов правой кнопкой мыши и из контекстного меню выберите команду <strong>Открыть редактор таблицы миграции</strong>.</li></ol><p>Окно утилиты <strong>Редактор таблицы миграции</strong> вы можете увидеть на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/101014060553/mtedit-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/101014060553/mtedit-01_mini_oszone.jpg alt=* width=480 height=126/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Окно утилиты Редактор таблицы миграции</strong></p><p>Как было уже указано выше, для добавления принципалов безопасности вы можете воспользоваться командой <strong>Обзор</strong>, которая вызывается из контекстного меню для разделов <strong>Имя исходного объекта</strong> и <strong>Имя объекта назначения</strong>. Помимо этого, соответствующие текстовые поля разделов вы можете редактировать при помощи команд <strong>Вырезать</strong>, <strong>Копировать</strong> и <strong>Вставить</strong> контекстного меню или вводя текст вручную. В том случае, если вы добавляли значение в разделе <strong>Имя исходного объекта</strong> не воспользовавшись командой <strong>Обзор</strong>, значение раздела <strong>Тип исходного объекта</strong> автоматически не заполняется и вам нужно выбрать тип объекта при помощи раскрывающегося меню. Редактор таблицы миграции позволяет вам создавать корректные XML-файлы при помощи автоматической проверки синтаксиса. Помимо этого до окончательного сохранения создаваемой вами таблицы миграции вы можете проверить таблицу миграции на наличие ошибок. Для этого выберите команду <strong>Проверить таблицу</strong> из меню <strong>Сервис</strong>. Диалоговое окно результатов проверки таблицы миграции отображено ниже:</p><p><img src=http://oszone.net/figs/u/72715/101014060553/mtedit-02.jpg alt=* width=472 height=407/></p><p><strong>Рис. 2. Диалоговое окно Результаты проверки</strong></p><p>Кроме всех перечисленных выше действий, вы также можете заполнять таблицу миграции в автоматическом режиме при помощи сканирования объектов групповой политики или их архивных копий для извлечения всех ссылок на участников безопасности и внесения их в таблицу в качестве записей исходных имен. Для этого вы можете воспользоваться командами <strong>Заполнить из объекта групповой политики</strong> или <strong>Заполнить из архивной копии</strong> меню <strong>Сервис</strong>, причем значением имени объекта назначения для каждого ресурса будет выступать <strong>Соответствует с исходным объектом</strong>, а значением типа исходного объекта будет <strong>Текст или ИД безопасности</strong>. Диалоговые окна заполнения таблицы миграции изображены ниже:</p><p><a href=http://oszone.net/figs/u/72715/101014060553/mtedit-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/101014060553/mtedit-03_mini_oszone.jpg alt=* width=480 height=237/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Диалоговые окна Выбор объекта групповой политики и Выберите архив</strong></p><h2>Использование утилиты командной строки Mtedit.exe</h2><br><p>Наряду с утилитой <strong>Редактор таблиц миграции</strong> вы можете использовать функционал утилиты командной строки <em>Mtedit.exe</em>, который также позволяет создавать таблицы миграции. В применении данная утилита очень проста, так как для ее использования вам нужно задать имя таблицы миграции, которую требуется открыть в редакторе, а после имени обязательные параметры. Для данной утилиты доступны только четыре параметра, которые описаны ниже:</p><ul><li><strong>/Domain</strong>. Данный параметр задает домены, которые будут использованы при выборе параметра Заполнить из объекта групповой политики, где домен должен быть указан в формате DNS;</li><li><strong>/DC</strong>. Текущий параметр задает контроллер домена, используемый для указанного домена в формате DNS или NetBIOS. В том случае, если вы не укажите данный параметр, то будет использоваться любой контроллер домена;</li><li><strong>/Forest</strong>. Этот параметр дает задание редактору таблиц миграции использовать все домены в указанном лесу для заполнения списка доменов в диалоговом окне <strong>Выбор объекта групповой политики</strong> параметра <strong>Заполнить из объекта групповой политики</strong>, которое указывается как DNS-имя корневого домена леса в выбранном лесу;</li><li><strong>/DisableTrustChecking</strong>. Используя этот параметр, вы можете запретить доступ к доменам, с которыми установлены двусторонние отношения доверия.</li></ul><p>Результат использования данной утилиты изображен ниже:</p><p><a href=http://oszone.net/figs/u/72715/101014060553/mtedit-04.jpg target=_blank><img src=http://oszone.net/figs/u/72715/101014060553/mtedit-04_mini_oszone.jpg alt=* width=480 height=297/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Использование утилиты Mtedit.exe</strong></p><h2>Создание таблицы миграции вручную</h2><br><p>Как уже говорилось ранее в этой статье, помимо указанных выше способов создания таблиц миграции, вы можете создавать таблицы миграции вручную, используя любой редактор, позволяющий сохранять файлы в формате XML. Если вы все-таки решили создавать таблицу миграции в ручном режиме, то, прежде всего, вам нужно объявить пространство имен для того, чтобы созданную таблицу миграции можно было использовать на конечном домене. Пространство имен объявляется следующим образом:</p><p>&lt;?xml version=1.0 encoding=utf-16? &gt;<br>&lt;MigrationTable xmlns=http://www.microsoft.com/GroupPolicy/GPOOperations/MigrationTable&gt;</p><p>После этого вам нужно в таблицу миграции добавить типы данных, для чего используются следующие элементы:</p><p>&lt;Mapping&gt;<br>&lt;Type&gt;Тип&lt;/Type&gt;<br>&lt;Source&gt;Источник&lt;/Source&gt;<br>&lt;Destination&gt;конечная_точка&lt;/Destination&gt;<br>&lt;/Mapping&gt;</p><p>Где элемент <strong>Mapping</strong> объявляет новый объект таблицы миграции, элемент <strong>Type</strong> указывает тип исходного объекта, элемент <strong>Source</strong> определяет имя исходного объекта, а при помощи элемента <strong>Destination</strong> указывается имя объекта назначения.</p><h2>Заключение</h2><br><p>В этой статье вы узнали об очередном компоненте, позволяющем эффективно управлять групповыми политиками в организации - о таблицах миграции. Были рассмотрены: утилита <strong>Редактор таблиц миграции</strong>, которая позволяет создавать таблицы миграции при помощи удобного пользовательского интерфейса, утилита командной строки <em>Mtedit.exe</em>, а также создание XML-файлов, содержащих таблицы миграции в ручном режиме при помощи любой программы, позволяющей сохранять документы в формате XML.</p> http://www.microsoft.com/rus/business/smb/blog/68/ Microsoft for Business <h2>Введение</h2><br><p>Из цикла предыдущих статей, посвященных локальным политикам безопасности, вы уже узнали о многих средствах обеспечения безопасности пользователей вашей организации или домашних пользователей средствами групповых политик. Из этой статьи вы узнаете еще о четырех узлах локальных политик безопасности, а именно об управлении группами с ограниченным доступом, системных службах пользователей, которые попадают в область действия групповых политик, об ограничениях разделов системного реестра, а также о разрешениях файловой системы ваших рабочих станций. Эти политики безопасности позволят вам задать свойства для групп со специфическими требованиями, принудительно запускать или отключать службы согласно корпоративным требованиям, ограничить доступ к конкретным разделам системного реестра и управлять разрешениями доступа и параметрами аудита для файловой системы. Правильное использование этих политик безопасности позволит вам закрыть множество уязвимостей, от злоумышленников, которым все-таки удалось проникнуть в системы ваших пользователей, а также от самих пользователей, которые в связи с некомпетентностью могут нанести не менее значительный ущерб своему компьютеру и рабочим станциям организации в частности. Все четыре указанных ниже локальных политик безопасности вы не сможете найти в оснастке <strong>Редактор локальной групповой политики</strong> клиентских операционных систем.</p><h2>Группы с ограниченным доступом</h2><br><p>При помощи локальных политик безопасности и политик <strong>Группы с ограниченным доступом</strong> в частности, вы можете указать два свойства, определяющие членов данной группы, а также членства в группах для конкретной группы безопасности. Данная политика безопасности имеет особенную ценность для организаций, в которых присуща сложная иерархия групп безопасности. Как известно, группы - это важный класс объектов, поскольку они служат для единого управления коллекциями пользователей, компьютеров и других групп. Несмотря на то, что данные политики безопасности очень похожи на возможности функционала оснастки <strong>Active Directory: Локальные пользователи и компьютеры</strong>, я рекомендую не игнорировать использование данных политик. В связи с тем, что на первый взгляд свойства <strong>Члены группы</strong> и <strong>Член групп</strong> очень похожи, между ними имеются существенные отличия.</p><p>Параметр <strong>Член групп</strong> указывает принадлежность данной группы к еще одной группе. Применение этого параметра гарантирует членство определяемой вами группы в указанной локальной группе. В том случае, если вы настроили локальные политики безопасности в нескольких объектах групповых политик, то для выбранных групп будет применяться каждый параметр членства группы. Например, если вы определили для группы <strong>Отдел разработки</strong>, что пользователи данной группы являются членами группы <strong>Разработчики</strong>, а второй объект, который привязан к дочернему подразделению, указывает что группа <strong>Отдел тестирования</strong> также является членом группы <strong>Разработчики</strong>, то, в конечном счете, обе группы будут принадлежать к группе <strong>Разработчики</strong>.</p><p>При помощи параметра <strong>Члены группы</strong>, вы можете указать членство в определяемой группе. Данный параметр является авторитарным, и он определяет окончательный список членов. Если политика групп с ограниченным доступом определена в нескольких объектах групповых политик, то объект GPO с высшим приоритетом будет иметь преимущества над остальными объектами групповых политик.</p><p>Например, попробуем настроить группу <strong>Отладчики</strong> как ограниченную группу, в которую входит группа <strong>Поддержка</strong>:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong>, где выберите контейнер <strong>Объекты групповой политики</strong> и нажмите на этом контейнере правой кнопкой мыши для отображения <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a>;</li><li>В контекстном меню выберите команду <strong>Создать</strong> и в отобразившемся диалоговом окне <strong>Новый объект групповой политики</strong> введите <strong>Группы с ограниченным доступом</strong>, после чего нажмите кнопку <strong>ОК</strong>;</li><li>Выберите данный объект групповой политики и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В окне оснастки <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Группы с ограниченным доступом</strong> и вызовите диалоговое окно добавления группы одним из следующих методов:</li><ul><li>В дереве консоли выберите узел <strong>Группы с ограниченным доступом</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Добавить группу</strong>;</li><li>Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду <strong>Добавить группу</strong>;</li><li>Если у вас отображается панель действий, то перейдите в ней по ссылке <strong>Дополнительные действия</strong> и выберите команду <strong>Добавить группу</strong>.</li></ul><li>В диалоговом окне <strong>Добавление группы</strong> в текстовом поле <strong>Группа</strong> введите название необходимой группы или найдите ее, вызвав диалоговое окно <strong>Выбор: Группы</strong>, нажав на кнопку <strong>Обзор</strong>, после чего нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-01.jpg alt=* width=372 height=152/></p><p><strong>Рис. 1. Диалоговое окно добавления группы</strong></p><li>В диалоговом окне <strong>TESTDOMAIN\Отладчики Свойства</strong> необходимо указать пользователей или группы, которые будут являться членами группы Отладчики. Для этого возле области <strong>Члены этой группы</strong> нажмите на кнопку <strong>Добавить</strong>. Откроется такое же окно, предназначенное для выбора группы, как и на предыдущем шаге. Выберем группу <strong>Поддержка</strong>, которая была создана заранее. В нашем случае, группа отладчиков не должна входить в какие-либо группы, поэтому далее нажмите на кнопку <strong>ОК</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-02.jpg alt=* width=364 height=448/></p><p><strong>Рис. 2. Диалоговое окно настройки группы с ограниченным доступом</strong></p><li>Закройте оснастку <strong>Редактор управления групповыми политиками</strong>, привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.</li></ol><h2>Системные службы</h2><br><p>Узел <strong>Службы</strong> локальных политик безопасности отвечает за централизованное управление службами ваших клиентских машин. Для повышения производительности компьютеров вашей организации вы можете определить службы, которые будут запущены автоматически, которые нужно запускать вручную, а также службы, которые принудительно будут остановлены. Для того чтобы определить параметры служб, вам нужно выполнить следующие действия:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong>, где выберите контейнер <strong>Объекты групповой политики</strong> и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;</li><li>В контекстном меню выберите команду <strong>Создать</strong> и в отобразившемся диалоговом окне <strong>Новый объект групповой политики</strong> введите <strong>Службы для компьютеров организации</strong>, после чего нажмите кнопку <strong>ОК</strong>;</li><li>Выберите данный объект групповой политики и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В окне оснастки <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Системные службы</strong>. Область сведений системных служб вы можете увидеть ниже:</li><br/><p><a href=http://oszone.net/figs/u/72715/100507072702/secpol6-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-03_mini_oszone.jpg alt=* width=480 height=387/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Область сведений узла Системные службы</strong></p><li>Как видно из предыдущей иллюстрации, по умолчанию для всех системных служб установлено состояние <strong>Не определено</strong>. Для того чтобы настроить определенные системные службы, выберите любую службу, например, <strong>Служба ввода планшетного ПК</strong> и откройте ее свойства. Свойства данной службы отображены на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-04.jpg alt=* width=404 height=375/></p><p><strong>Рис. 4. Диалоговое окно свойств службы</strong></p><li>Установите флажок <strong>Определить следующий параметр политики</strong>, а затем установите переключатель на требуемое состояние. Нажав на кнопку <strong>Изменить параметры</strong> вы можете указать параметры безопасности для групп и пользователей.</li><li>По окончанию настройки режима запуска службы нажмите на кнопку <strong>ОК</strong>. После настройки служб, область сведений будет выглядеть следующим образом:</li><br/><p><a href=http://oszone.net/figs/u/72715/100507072702/secpol6-05.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-05_mini_oszone.JPG alt=* width=480 height=119/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Область сведений после настройки режима запуска служб</strong></p><li>Закройте оснастку <strong>Редактор управления групповыми политиками</strong>, привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.</li></ol><h2>Реестр</h2><br><p>Используя политики из узла <strong>Реестр</strong> вы можете определить права доступа и аудита для различных разделов системного реестра компьютеров, которые указаны в области действия объектов групповых политик. Настройки данных политик идентичны тем настройкам, которые были описаны в статье <a href=http://oszone.net/11636/security_templates>Работа с оснасткой Шаблоны безопасности</a>. Например, для того чтобы запретить вашим пользователям изменять настройки автозапуска совместно с настройками режима запуска служб, выполните следующие действия:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong>, где выберите контейнер <strong>Объекты групповой политики</strong>, затем выберите объект групповой политики <strong>Службы для компьютеров организации</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В появившемся окне оснастки <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Реестр</strong> и вызовите диалоговое окно <strong>Выбор раздела реестра</strong> из контекстного меню узла, области сведений, области действий или из меню <strong>Действие</strong>;</li><li>В диалоговом окне <strong>Выбор раздела реестра</strong>, введите в текстовом поле <strong>Выбранный реестр</strong> путь к требуемому разделу (в нашем случае - MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) или выберите необходимый раздел в области <strong>Реестр</strong>. Данное диалоговое окно вы можете увидеть ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-06.jpg alt=* width=435 height=344/></p><p><strong>Рис. 6. Диалоговое окно выбора раздела реестра</strong></p><li>Нажмите на кнопку <strong>ОК</strong> для открытия диалогового окна управления безопасностью данного раздела. Выберите группу <strong>Пользователи</strong> и в области разрешений установите флажок для полного доступа на опцию <strong>Запретить</strong>. Вы можете добавить любую группу или пользователей по нажатию на кнопку <strong>Добавить</strong> или настроить дополнительные параметры безопасности. Нажмите на кнопку <strong>ОК</strong>;</li><li>В том случае, если вы задали элемент запрета разрешений, то перед вами отобразится следующее предупреждение:</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-07.jpg alt=* width=416 height=191/></p><p><strong>Рис. 7. Предупреждение об изменении разрешений</strong></p><p>Прочитайте его и нажмите на кнопку <strong>Да</strong> для продолжения выполнения операции.</p><li>В диалоговом окне <strong>Добавление объекта</strong> вы можете указать разрешения для всех дочерних разделов. Выберите необходимые разрешения и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-08.jpg alt=* width=384 height=322/></p><p><strong>Рис. 8. Диалоговое окно добавления раздела реестра</strong></p><li>В области сведений будут отображаться все разделы реестра, для которых вы указали разрешения. По окончании добавления разделов реестра закройте оснастку <strong>Редактор управления групповых политик</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-09.JPG alt=* width=400 height=79/></p><p><strong>Рис. 9. Область сведений редактора управления групповых политик</strong></p></ol><h2>Файловая система</h2><br><p>При помощи этого узла вы можете настроить разрешения доступа пользователям или группам к объектам, расположенных на данном компьютере. Принцип добавления объекта файловой системы полностью идентичен добавлению разрешений на разделы реестра за исключением того, что на третьем шаге вместо диалогового окна выбора раздела реестра вам нужно будет указать файл или папку в диалоговом окне <strong>Добавление файла или папки</strong>. На следующей иллюстрации отображено данное диалоговое окно:</p><p><img src=http://oszone.net/figs/u/72715/100507072702/secpol6-10.jpg alt=* width=326 height=353/></p><p><strong>Рис. 10. Диалоговое окно добавления файла или папки</strong></p><h2>Заключение</h2><br><p>В данной статье вы узнали еще об одних локальных политиках безопасности: политиках групп с ограниченным доступом, которые предназначены для определения членов указанной группы и членства в группах, о политиках системных служб, используя которые вы можете указать режим запуска служб для своих клиентских компьютеров. Также были рассмотрены политики реестра, которые предназначены для указания разрешений к определенным разделам системного реестра и политики файловой системы, которые нужны для разрешения доступа пользователям или группам к объектам, расположенным на данном компьютере. В следующей статье вы узнаете о настройках политик проводной сети.</p> http://www.microsoft.com/rus/business/smb/blog/67/ Microsoft for Business <h2>Введение</h2><br><p>В связи с тем, что именно от групповых политик зависит большинство настроек административных шаблонов и безопасности серверов и компьютеров вашей организации, наиболее важными этапами являются планирование и обеспечение стратегии архивации объектов групповых политик в корпоративной среде вашей компании. Оснастка <strong>Управление групповой политикой</strong> позволяет автоматизировать практически все возможные настройки для оптимального обеспечения функционирования вашей организации. Данная оснастка обеспечивает компонент архивации, который позволяет создавать резервные копии всего списка объектов групповых политик в лесу или домене, а также архивировать его отдельные компоненты. Выполнение архивации позволяет вам не только защитить развернутые вами объекты групповых политик, а также архивировать их с целью миграции или импорта в другие домены или леса Active Directory. В этой статье вы узнаете об архивации объектов групповой политики, их восстановлении, о копировании и импорте объектов групповой политики в ручном режиме.</p><h2>Архивация групповой политики</h2><br><p>Как было указано выше, вы можете выполнять резервное копирование конкретных объектов групповых политик, а также контейнер <strong>Объекты групповой политики</strong>. Помимо этого, вы можете архивировать начальные объекты групповой политики и фильтры WMI. К сожалению, такие внешние параметры самого объекта групповой политики, как фильтры WMI, ссылки на сайты, домены и подразделения, а также политики IPSec, считаются независимыми объектами Active Directory и не подлежат архивированию. Стоит обратить внимание на то, что для выполнения архивирования объекта групповой политики у вас должны быть права на разрешение чтения объекта GPO, а также разрешения на запись в папку, в которой будет располагаться резервная копия объекта групповой политики. Для того чтобы выполнить архивирование одного определенного объекта групповой политики, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong> и в ней, в дереве консоли, разверните контейнер <strong>Объекты групповой политики</strong>;</li><li>Выберите один объект групповой политики (в этом примере создается резервная копия объекта групповой политики Default Domain Controllers Policy), нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Архивировать</strong>. Если вы хотите заархивировать сразу все объекты групповой политики, которые расположены в контейнере <strong>Объекты групповой политики</strong> или <strong>Начальные объекты групповой политики</strong>, нажмите правой кнопкой мыши на самом контейнере и выберите команду <strong>Архивировать все</strong>;</li><li>В обоих случаях откроется диалоговое окно <strong>Архивация объекта групповой политики</strong>, которое вы можете увидеть на первой иллюстрации. В этом диалоговом окне, в поле <strong>Расположение</strong> введите путь к папке, в которой будут храниться резервные копии ваших объектов групповой политики, а в поле <strong>Описание</strong> - краткое описание, предназначенное для локализации заархивированного объекта GPO. Если вы уже выполняли резервное копирование объектов GPO, то при повторном открытии данного диалогового окна, в поле <strong>Расположение</strong>, будет указана папка, в которую выполнялось архивирование в предыдущий раз. Поле <strong>Описание</strong> является опциональным, то есть вводить текст в данное поле не обязательно;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-01.jpg alt=* width=404 height=383/></p><p><strong>Рис. 1. Диалоговое окно Архивация объекта групповой политики</strong></p><li>Для того чтобы начать процесс архивации, нажмите на кнопку <strong>Архивировать</strong>. На следующей иллюстрации отображается также диалоговое окно <strong>Архивация объекта групповой политики</strong>, но во время выполнения резервного копирования объекта GPO:</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-02.jpg alt=* width=480 height=389/></p><p><strong>Рис. 2. Процесс архивации объектов GPO</strong></p><li>После того как все объекты групповой политики будут заархивированы, нажмите на кнопку <strong>ОК</strong> для закрытия данного диалогового окна.</li></ol><h2>Восстановление объекта групповой политики</h2><br><p>Во время изменения параметров политик объекта групповой политики вы можете совершить ошибку, и настройки пользовательских компьютеров могут измениться в худшую сторону. Помимо этого, у вас всегда есть шанс по ошибке удалить нужный, а, возможно, и критичный для вас объект групповой политики. Чтобы избежать большинства подобных проблем, оснастка <strong>Управление групповой политикой</strong> позволяет управлять и восстанавливать резервные копии объектов групповой политики. При помощи механизма восстановления объектов GPO, вы можете изменить как модифицированные, так и удаленные объекты групповой политики. Так как каждый объект групповой политики архивируется отдельно с номером версии, которая включает в себя отметку времени и описание архива, вы можете восстановить последнюю или любую из предыдущих версий указанного вами объекта групповой политики. Также как и в случае с архивацией, для восстановления объекта GPO у вас должны быть права на разрешение создание в домене объект GPO, а также разрешения на чтение папки, в которой располагается резервная копия объекта групповой политики. Для восстановления существующего объекта групповой политики, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно восстановить;</li><li>Выделите объект групповой политики, который вам нужно восстановить, нажмите на нем правой кнопкой мыши и в открывшемся контекстном меню выберите команду <strong>Восстановить из архива</strong>;</li><li>В отобразившемся диалоговом окне <strong>Мастер восстановления объекта групповой политики</strong>, на первой странице мастера прочтите информацию о восстановлении объектов GPO из архивов и нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-03.jpg alt=* width=480 height=368/></p><p><strong>Рис. 3. Страница приветствия мастера восстановления объектов групповой политики</strong></p><li>На странице <strong>Расположение архива</strong> укажите папку, в которой расположена архивная копия объекта групповой политики;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-04.jpg alt=* width=480 height=368/></p><p><strong>Рис. 4. Страница Расположение архива мастера восстановления объекта групповой политики</strong></p><li>На странице <strong>Исходный объект групповой политики</strong>, выберите объект групповой политики, который требуется восстановить. Если вы создавали несколько резервных копий объекта групповой политики, вы можете выбрать любую архивную копию, создаваемую ранее из списка <strong>Архивированные объекты политики для восстановления</strong>. Если вы хотите просмотреть изменения в выбранной вами политике, нажмите на кнопку <strong>Просмотреть параметры</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-05.jpg alt=* width=480 height=368/></p><p><strong>Рис. 5. Страница Исходный объект групповой политики мастера восстановления групповой политики</strong></p><li>Нажмите на кнопку <strong>Далее</strong>. На странице <strong>Завершение мастера восстановления объектов групповой политики</strong> просмотрите сводную информацию и нажмите на кнопку <strong>Готово</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-06.jpg alt=* width=480 height=368/></p><p><strong>Рис. 6. Страница завершения мастера восстановления объектов групповой политики</strong></p><li>На следующем шаге откроется диалоговое окно <strong>Восстановление</strong>, где по завершению процесса восстановления нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-07.jpg alt=* width=480 height=389/></p><p><strong>Рис. 7. Диалоговое окно Восстановление</strong></p></ol><h3>Управление архивацией</h3><p>Управления архивацией позволяет вам восстанавливать или удалять один или несколько объектов групповой политики. Для того чтобы воспользоваться механизмом управления архивации, выполните следующие действия:</p><ol><li>В оснастке <strong>Управление групповой политикой</strong> выберите контейнер <strong>Объекты групповой политики</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Управление архивацией</strong>;</li><li>В диалоговом окне <strong>Управление архивацией</strong>, которое отображено на следующей иллюстрации, выберите удаленный объект групповой политики или тот объект GPO, который требуется восстановить, и нажмите на кнопку <strong>Восстановить</strong>. Если у вас отображено сразу несколько объектов групповой политики, которые отличаются только по временной отметке, вы можете установить флажок <strong>Показывать только последнюю версию каждого объекта групповой политики</strong> для отображения последнего изменения для каждого присутствующего в архиве объекта GPO. Также вы можете удалить из архива несколько объектов групповых политик. Для этого, удерживая клавишу <strong>Ctrl</strong>, выделите сразу несколько объектов GPO и нажмите на кнопку <strong>Удалить</strong>.</li><br/><p><a href=http://oszone.net/figs/u/72715/100916081459/gpmcback-08.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-08_mini_oszone.jpg alt=* width=480 height=427/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Диалоговое окно Управление архивацией</strong></p></ol><h2>Копирование объектов групповой политики</h2><br><p>Для обеспечения быстрого способа миграции параметров групповой политики из одного домена в другой, в оснастке <strong>Управление групповой политикой</strong> предусмотрен функционал копирования объектов GPO. Для того чтобы у вас была возможность выполнения операций копирования объектов групповых политик, у вас должны быть права на разрешение чтения объекта GPO в исходном домене, а также разрешения на создание объекта групповой политики в конечном домене. Также вы можете создавать копии объектов групповой политики в том же домене, где и был скопирован исходных объект GPO. Для того чтобы выполнить копирование объектов GPO, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>, где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно скопировать;</li><li>Выделите объект групповой политики, который вы хотите скопировать, нажмите на нем правой кнопкой мыши и выберите в контекстном меню команду <strong>Копировать</strong>;</li><li>В конечном домене или в домене, содержащем исходный объект групповой политики, нажмите правой кнопкой мыши на контейнере <strong>Объекты групповой политики</strong> и выберите команду <strong>Вставить</strong>;</li><li>В том случае, если вы производите копирование объекта GPO в исходный домен, в отобразившемся диалоговом окне <strong>Копирование объекта групповой политики</strong> вы можете завершить процесс копирования. Укажите разрешения для нового объекта групповой политики и нажмите на кнопку <strong>ОК</strong>. В случае копирования объекта групповой политики в другой домен, для завершения процесса копирования, мастер запросит конфигурацию таблицы миграции, которая используется для преобразования специфических данных объектов групповых политик, которые могут оказаться неприменимыми в другом домене. На следующей иллюстрации отображено диалоговое окно <strong>Копирование объекта групповой политики</strong>:</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-09.jpg alt=* width=407 height=155/></p><p><strong>Рис. 9. Диалоговое окно Копирование объекта групповой политики</strong></p></ol><h2>Импорт параметров объекта групповой политики</h2><br><p>Иногда вам может понадобиться скопировать данные конфигурации определенного объекта групповой политики и импортировать заархивированные параметры групповой политики. Для выполнения импорта параметров групповых политик, выполните следующие действия:</p><ol><li>Создайте архивную копию объекта групповой политики;</li><li>На следующем этапе вам нужно развернуть контейнер <strong>Объекты групповой политики</strong> в конечном домене или лесе, выбрать объект групповой политики, в который будут импортироваться параметры, нажать на нем правой кнопкой мыши и выбрать команду <strong>Импорт параметров</strong>;</li><li>На первой странице диалогового окна <strong>Мастер импорта параметров</strong> ознакомьтесь с предоставленной информацией и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Архивирование объекта групповой политики</strong> вы можете выполнить архивацию текущего объекта групповой политики, так как импорт параметров приведет к безвозвратному удалению текущих параметров объекта GPO;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-10.jpg alt=* width=480 height=373/></p><p><strong>Рис. 10. Страница архивирования объекта GPO мастера импорта параметров</strong></p><li>На странице <strong>Мастер импорта параметров</strong> выберите папку, которая содержит архивную копию импортируемого объекта GPO;</li><li>На следующем шаге, странице <strong>Исходный объект групповой политики</strong> выберите заархивированную копию объекта GPO, параметры которого будут импортированы. Эта страница отображена ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-11.jpg alt=* width=480 height=373/></p><p><strong>Рис. 11. Выбор исходного объекта групповой политики</strong></p><li>На странице <strong>Проверка архива</strong> мастер импорта параметров проверит такие параметры домена, как группы безопасности и пути UNC. В этом случае рекомендуется использовать таблицу миграции. По окончании проверки архива нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-12.jpg alt=* width=480 height=373/></p><p><strong>Рис. 12. Процесс проверки исходного архива</strong></p><li>На странице завершение мастера импорта параметров просмотрите сводную информацию и нажмите на кнопку <strong>Готово</strong>;</li><li>Последним шагом процесса импорта параметров GPO является, непосредственно сам импорт. После того как архивированные параметры GPO будут импортированы в конечный объект нажмите на кнопку <strong>ОК</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100916081459/gpmcback-13.jpg alt=* width=480 height=389/></p><p><strong>Рис. 12. Процесс импорта заархивированных параметров объекта групповой политики</strong></p></ol><h2>Заключение</h2><br><p>В этой статье вы узнали о методах создания архивных копий существующих объектов групповой политики, об их восстановлении в случае изменения параметров политик объекта групповой политики или удаления самих объектов GPO. Помимо этого были рассмотрены процессы копирования объектов групповых политик в домен с исходным объектом GPO или в другой домен текущего леса, а также импорт архивированных объектов GPO. Импорт параметров групповой политики обычно применяется в случае тестирования объекта групповой политики в лабораторной среде, уже работающих в производственной среде в другом домене. В следующей статье данного цикла вы узнаете о таблицах миграции и сценариях, позволяющих автоматизировать процессы архивирования и восстановления объектов групповых политик.</p> http://www.microsoft.com/rus/business/smb/blog/66/ Microsoft for Business <h2>Введение</h2><br><p>Большинство доступных в операционных системах Windows параметров групповой политики, которые зависят от системного реестра, также называемых реестро-зависящими политиками можно найти в расширении административных шаблонов. <strong>Административными шаблонами</strong> называются параметры групповой политики, основанные на данных системного реестра, которые отображаются в узлах <strong>Административные шаблоны</strong> узлов конфигурации компьютера и конфигурации пользователя. К таким параметрам относятся настройки панели управления, панели задач, сетевых параметров, параметров рабочего стола и многое другое. Сами по себе административные шаблоны представляют собой текстовые файлы, указывающие на изменение определенных параметров реестра и генерирующие пользовательский интерфейс для настройки политики административного шаблона в оснастке <strong>Редактор управления групповыми политиками</strong>, которая и позволяет изменять значение параметров реестра на целевых компьютерах. В большинстве случаев, административные шаблоны предназначены для простого способа настройки параметров пользователей и компьютеров и применения таких политик для изменения соответствующих настроек пользователей и компьютеров организации. Административные шаблоны предоставляют возможности динамического управления администраторам и разработчиками всевозможными настройками своих приложений. Политики административных шаблонов в узле конфигурации компьютера, модифицируют значения параметров в разделах HKLM\Software\Policies и HKLM\Software\Microsoft\Windows\CurrentVersion\Policies, а административные шаблоны конфигурации пользователя - HKCU\Software\Policies и HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.</p><p>Распространяются административные шаблоны групповых политик на клиентские компьютеры таким образом. Сразу после <a href=http://www.outsidethebox.ms/11427/ target=_blank title=Бесплатная книга об ускорении загрузки Windows (PDF)>загрузки</a> операционной системы и выполнения пользователем входа в свою учетную запись, загружаются все параметры системного реестра, установленные по умолчанию, а после этого в разделах реестра выполняется анализ некоторых дополнительных параметров и, в том случае, если разделы содержат дополнительные параметры, указаные в политиках административных шаблонов, то существующие записи в реестре будут перезаписываться. Если политики административных шаблонов изменяли параметры реестра в разделах Policies, то в случае удаления административного шаблона или перемещения пользователя в другое подразделение организации, где данный шаблон на него не будет распространяться, информация о существующих параметрах политики будет удалена и после следующей загрузки или выполнения входа, будут использоваться параметры, указанные операционной системой по умолчанию.</p><p>В операционных системах Windows, разработанных до Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>, для административных шаблонов использовались файлы, с расширением .adm. У таких административных шаблонов был ряд недостатков. Для создания ADM-файла, который будет использоваться при развертывании конфигурации в многоязыковой организации, вам придется создавать отдельные ADM-файлы для каждого языка. А чтобы отредактировать параметры реестра в таком шаблоне, вам нужно будет вносить изменения в каждый ADM-файл, что крайне неудобно. Ко второму недостатку можно отнести то, что файлы административных шаблонов .adm расположены как компонент объекта <strong>Шаблон групповой политики</strong> (Group Policy Template - GPT), которые представляют собой коллекцию файлов в каталоге SYSVOL каждого контроллера домена. И если такой шаблон используется сразу в нескольких объектах GPO, то в папке SYSVOL он будет сохранен несколько раз. Также, при редактировании объекта групповой политики, который содержит ADM-файл, редактор объектов групповой политики загружает этот шаблон из контейнера групповой политики (Group Policy Container - GPC), чтобы создать пользовательский интерфейс. Административные шаблоны ADM не поддерживали такие типы данных реестра, как мультистроковые значения и параметры QWORD.</p><p>С выходом операционных систем Windows Vista и Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a>, административные шаблоны существенно изменились. Теперь административные шаблоны представляют собой пару XML-файлов. А именно: не связанный с языком файл (<strong>ADMX</strong>), описывающий структуру категорий и параметров политики административных шаблонов, отображаемых в оснастке редактора управления групповыми политиками, а также набор зависящих от языка файлов (<strong>ADML</strong>), которые предоставляют локализованные фрагменты, отображаемые в оснастке редактора управления групповыми политиками. Каждый ADML-файл представляет один язык, для которого требуется поддержка. Изменения параметров реестра административных шаблонов вносятся в один ADMX-файл.</p><p>К дополнительным преимуществам ADMX/ADML файлов административных шаблонов можно отнести то, что если используются именно эти административные шаблоны, то объект групповой политики содержит только данные, необходимые клиентам обработки групповой политики, а при редактировании объектов GPO редактор управления групповой политикой извлекает файлы ADMX и ADML на локальной машине. В том случае, если компьютеры организации входят в состав домена Active Directory, административные шаблоны располагаются в таком центральном хранилище, как папка SYSVOL, откуда они и загружаются. На компьютерах, которые входят в состав рабочей группы, ADMX файлы располагаются в папке %SystemRoot%\PolicyDefinitions, а языковые файлы ADML хранятся в папке %SystemRoot%\PolicyDefinitions\[MUIculture], где последняя папка должна соответствовать краткой форме языка определенной страны, указанной в ISO-формате. Например, файлы для русского языка локализованы в папке \RU-RU. Список сокращений языков вы можете найти в следующей таблице:</p><table><tbody><tr><td><p><strong>Язык</strong></p></td><td><p><strong>Код в формате ISO-639-1</strong></p></td></tr><tr><td><p>Африкаанс</p></td><td><p>AF</p></td></tr><tr><td><p>Арабский</p></td><td><p>AR</p></td></tr><tr><td><p>Баскский</p></td><td><p>EU</p></td></tr><tr><td><p>Белорусский</p></td><td><p>BE</p></td></tr><tr><td><p>Болгарский</p></td><td><p>BG</p></td></tr><tr><td><p>Каталанский</p></td><td><p>CA</p></td></tr><tr><td><p>Китайский (Китай)</p></td><td><p>ZH, ZH-CN</p></td></tr><tr><td><p>Китайский (Тайвань)</p></td><td><p>ZH-TW</p></td></tr><tr><td><p>Хорватский</p></td><td><p>HR</p></td></tr><tr><td><p>Чешский</p></td><td><p>CS</p></td></tr><tr><td><p>Датский</p></td><td><p>DA</p></td></tr><tr><td><p>Нидерландский</p></td><td><p>NL</p></td></tr><tr><td><p>Английский (Великобритания)</p></td><td><p>EN-GB</p></td></tr><tr><td><p>Английский (США)</p></td><td><p>EN-US</p></td></tr><tr><td><p>Эстонский</p></td><td><p>ET</p></td></tr><tr><td><p>Фарерский</p></td><td><p>FO</p></td></tr><tr><td><p>Финский</p></td><td><p>FI</p></td></tr><tr><td><p>Французский</p></td><td><p>FR, FR-FR</p></td></tr><tr><td><p>Французский (Канада)</p></td><td><p>FR-CA</p></td></tr><tr><td><p>Немецкий</p></td><td><p>DE</p></td></tr><tr><td><p>Греческий</p></td><td><p>EL</p></td></tr><tr><td><p>Иврит</p></td><td><p>HE, IW</p></td></tr><tr><td><p>Венгерский</p></td><td><p>HU</p></td></tr><tr><td><p>Исландский</p></td><td><p>IS</p></td></tr><tr><td><p>Индонезийский</p></td><td><p>ID, IN</p></td></tr><tr><td><p>Итальянский</p></td><td><p>IT</p></td></tr><tr><td><p>Японский</p></td><td><p>JA</p></td></tr><tr><td><p>Корейский</p></td><td><p>KO</p></td></tr><tr><td><p>Латышский</p></td><td><p>LV</p></td></tr><tr><td><p>Литовский</p></td><td><p>LT</p></td></tr><tr><td><p>Норвежский</p></td><td><p>NO</p></td></tr><tr><td><p>Польский</p></td><td><p>PL</p></td></tr><tr><td><p>Португальский</p></td><td><p>PT</p></td></tr><tr><td><p>Португальский (Бразилия)</p></td><td><p>PT-BR</p></td></tr><tr><td><p>Румынский</p></td><td><p>RO</p></td></tr><tr><td><p>Русский</p></td><td><p>RU</p></td></tr><tr><td><p>Сербский</p></td><td><p><a href=http://technet.microsoft.com/ru-ru/sharepoint/default.aspx target=_blank title=Узнайте больше о SharePoint>SP</a></p></td></tr><tr><td><p>Словацкий</p></td><td><p>SK</p></td></tr><tr><td><p>Словенский</p></td><td><p>SL</p></td></tr><tr><td><p>Испанский</p></td><td><p>ES, ES-ES</p></td></tr><tr><td><p>Шведский</p></td><td><p>SV</p></td></tr><tr><td><p>Тайский</p></td><td><p>TH</p></td></tr><tr><td><p>Турецкий</p></td><td><p>TR</p></td></tr><tr><td><p>Украинский</p></td><td><p>UK</p></td></tr><tr><td><p>Вьетнамский</p></td><td><p>VI</p></td></tr></tbody></table><p>На контроллерах домена, административные шаблоны располагаются в центральном хранилище, которое также называется контейнером групповых политик и содержит атрибуты, используемые для распространения GPO в домене, подразделениях и сайтах, а именно в папке %SystemRoot%\sysvol\%domainname%\policies\PolicyDefinitions. В свою очередь, языковые файлы ADML хранятся в папке %SystemRoot%\sysvol\%domainname%\policies\PolicyDefinitions\[MUIculture], соответственно. Для того чтобы создать центральное хранилище, вам нужно на контроллере домена создать корневую папку внутри %SystemRoot%\sysvol\%domainname%\policies\PolicyDefinitions, после этого создать папки для каждого языка, который необходим для распространения групповых политик. На следующем шаге следует скопировать все ADMX и ADML файлы с административной рабочей машины в папку PolicyDefinitions. Это можно сделать или вручную, или используя следующую команду:</p><p><em>Copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdomain%\policies\PolicyDefinitions</em></p><p>После настройки центрального хранилища, редактор управления групповой политикой распознает его и загружает все административные шаблоны не из локального хранилища, а именно из указанного вами центрального хранилища.</p><p>На следующей иллюстрации вы можете увидеть папку PolicyDefinitions клиентского компьютера с операционной системой <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>:</p><p><a href=http://oszone.net/figs/u/72715/110310081553/admxl-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/110310081553/admxl-01_mini_oszone.jpg alt=* width=480 height=288/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Папка PolicyDefinitions на клиентском компьютере</strong></p><p>Также, в связи с тем, что теперь административные шаблоны поддерживают мультистроковые типы данных реестра, администраторы могут выполнять такие задачи, как:</p><ul><li>вывод нескольких строк текста и сортировки записей параметров политики;</li><li>редактирование настроенных параметров и добавление новых позиций в строки;</li><li>редактирование существующего параметра;</li><li>выполнение выборки одной или нескольких записей;</li><li>удаление выбранных записей.</li></ul><p>Поддержка типа значений реестра QWORD позволяет использовать параметры политики административных шаблонов для 64-разрядных приложений. Помимо этого, стоит обратить ваше внимание и на тот факт, что в операционных системах <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> и Windows 7 насчитывается около 3200 административных шаблонов, что почти в два раза больше, чем было в операционной системе <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a> с административными шаблонами ADM (их тогда было около 1400).</p><p>Как я уже упомянул в начале этой статьи, управлять административными шаблонами вы можете при помощи оснастки <strong>Редактор управления групповой политикой</strong>. Во время редактирования объекта групповой политики, оснастка операционной системы Windows Server 2008/2008 R2 считывает все ADMX файлы, о расположении которых я говорил немного ранее, а затем отображает, согласно ADMX-файлам категории и параметры в узле <strong>Политики\Административные шаблоны</strong> в разделах <strong>Конфигурация компьютера</strong> и <strong>Конфигурация пользователя</strong>. В параметрах политик административных шаблонов всегда можно найти три следующие опции: <strong>Включить</strong>, <strong>Отключить</strong> и <strong>Не задано</strong>, которые изменяют параметр реестра для внесения изменений, отвечающих контексту параметра политики, изменение, выполняющее обратное действие, а также опция, позволяющая оставить параметры реестра без изменений. Значение по умолчанию для каждого параметра политики Не задано. Опять же, я уже упоминал, что начиная с операционных систем <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a> и Windows Server 2008, для редактора объектов групповой политики больше не используются ADM-файлы. Но, несмотря на это, если вам необходимо управлять настройками предыдущих операционных систем, вы можете добавить ADM-файлы.</p><p>Далее в этой статье вы узнаете об архитектуре и синтаксисе административных шаблонов.</p><h2>Архитектура административных шаблонов</h2><br><p>Если разобраться, то архитектура административных шаблонов групповых политик не такая уж и сложная. Основными компонентами в распространении административных шаблонов являются системный администратор, контроллер домена и целевой клиентский компьютер. Небольшая схема, которая позволит вам иметь четкое представление архитектуры расширения административных шаблонов, отображена ниже:</p><p><a href=http://oszone.net/figs/u/72715/110310081553/admxl-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110310081553/admxl-02_mini_oszone.JPG alt=* width=480 height=336/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Архитектура расширения административных шаблонов</strong></p><p>Первое, что стоит рассматривать в архитектуре расширения административных шаблонов групповых политик, это работу, выполняемую системным администратором, которая в данной схеме отображена в самом правом блоке. Здесь под компонентом <strong>Администратор</strong> подразумевается компьютер, на котором системный администратор вносит изменения в административные шаблоны, используя оснастку <strong>Редактор управления групповыми политиками</strong>. В этой оснастке, в расширении серверной стороны администратор настраивает параметры политик, основанные на административных шаблонах. Оснастка располагается в библиотеке userenv.dll, которую можно найти в папке Windows\System32\. Настройки расширения административных шаблонов передаются в Active Directory на контроллер домена по протоколам LDAP и SMB. Протокол SMB (Server Message Block) считается основным методом, предназначенным для доступа к файлам и принтерам. Именно этот протокол используют административные шаблоны для доступа к папке SYSVOL, а также для резервного копирования и извлечения файлов удаленной файловой системы.</p><p>В средней части данной схемы расположен контроллер домена, который является связующим звеном между изменениями, внесенными в административные шаблоны системным администратором и целевым компьютером, который будет извлекать настройки параметров объектов групповой политики. Всем известно, что контроллером домена называется отдельный сервер, который играет роль доменных служб Active Directory и имеет права на запись в базу данных Active Directory, запускать службу центра распространения ключей Kerberos, контролировать доступ к сетевым ресурсам и выполнять много других задач. В этом случае, как видно на схеме, контроллер домена содержит <strong>контейнер групповой политики</strong>, который хранит информацию о настройках объектов групповых политик в Active Directory, а также <strong>шаблон групповых политик</strong>, который хранит данные объекта GPO в папке Sysvol.</p><p>Как и компьютер системного администратора, с контроллером домена по протоколам LDAP и SMB связывается целевой компьютер, на который и распространяются параметры политики измененного системным администратором объекта GPO. Прежде всего, на каждом целевом компьютере есть модуль групповых политик, вызывающий клиентское расширение административных шаблонов с полным перечнем всех объектов групповых политик, которые будут применяться на данную машину. Модель групповых политик вызывает расширение клиентской стороны административных шаблонов, реализованное в библиотеке userenv.dll, зарегистрированной в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions, которое отвечает за внесение изменений в системный реестр операционной системы, согласно параметрам политики административных шаблонов, которые настраиваются при помощи соответствующей оснастки. Для выполнения настроек, указанных в параметрах групповой политики, расширение административных шаблонов изменяет конкретные параметры системного реестра. Изменяемые параметры указываются непосредственно в ADMX файле. Изменения, внесенные в системный реестр при помощи модуля групповых политик, записываются в журналы событий, которые можно просмотреть при помощи оснастки <strong>Просмотр событий</strong>. Во время обработки групповой политики, расширение клиентской стороны административных шаблонов записывает информацию об обработке данных в пространстве имен RSoP инструментария управления Windows.</p><p>Помимо выполнения объектов групповых политик, на каждом компьютере можно индивидуально настроить административные шаблоны в локальных объектах групповой политики. Эти объекты будут локально располагаться в скрытой папке %systemroot%\System32\GroupPolicy и, как всем вам известно, в среде Active Directory считаться наименее приоритетными, так как все объекты GPO, распространяемые на подразделение Active Directory, в котором расположен сам пользователь или его компьютер имеют более высокий приоритет.</p><h2>Структура ADMX-файла (Файла, не зависящего от языка)</h2><br><p>В ADMX-файле указано количество параметров политики и их тип данных, а также расположения в категориях, находящихся в оснастке <strong>Редактор управления групповыми политиками</strong>. ADMX-файл состоит из семи разделов, которые вы можете увидеть на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/110310081553/admxl-03.JPG alt=* width=200 height=364/></p><p><strong>Рис. 2. Структура ADMX-файла</strong></p><ul><li>XML-объявление. XML-объявлением является заголовок файла, который не рассматривается в качестве фрагмента ADMX-документа, но является его необходимой частью и помещается в начале всего файла для того, чтобы указать на то, что это XML-документ. Синтаксис следующий:</li><br/><p><em>&lt;?xml version=&lt;placeholder for version number&gt; encoding=&lt;placeholder for character encoding?&gt;</em></p><p>где доступны два параметра:</p><ul><li><strong>Version</strong>. Представляет собой версию языка XML, используемую в документе;</li><li><strong>Encoding</strong>. Предоставляет сведения о кодировке, используемые средствами синтаксического анализа XML-документов (в ADMX-файлах всегда должна быть задана кодировка UTF-8).</li></ul><li><strong>Элемент policyDefinitions</strong>. Является элементом документа для ADMX-файла, который определяет набор параметров политики системного реестра. Данный элемент содержит все остальные элементы для ADMX-файла. Синтаксис этого элемента следующий:</li><br/><p><em>&lt;policyDefinitions xmlns:xsd=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance revision=&lt;MajorVerison.MinorVersion&gt; schemaVersion=&lt;MajorVerison.MinorVersion&gt; xmlns= http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions &gt;<br>&lt;policyNamespaces&gt; ... &lt;/policyNamespaces&gt;<br>&lt;supersededAdm&gt; ... &lt;/supersededAdm&gt;<br>&lt;resources&gt; ... &lt;/resources&gt;<br>&lt;supportedOn&gt; ... &lt;/supportedOn&gt;<br>&lt;categories&gt; ... &lt;/categories&gt;<br>&lt;policies&gt; ... &lt;/policies&gt;<br>&lt;/policyDefinitions&gt;<br></em></p><p>где присутствуют следующие основные и дополнительные параметры:</p><ul><li><strong>Xmlns:xsd и xmlns:xsi</strong>. Это основные элементы, которые обозначают элементы и типы данных, используемые в схеме из пространства имен (параметр xmlns:xsd), а также обозначают пространства имен экземпляра XML-схемы, предоставленной в самом пространстве имен. Эти оба параметра всегда должны входить в состав ADMX-файла, так как, в противном случае, он может не пройти проверку на правильность формата XML-файла, они должны вводиться следующим образом:</li><p>xmlns:xsd =http://www.w3.org/2001/XMLSchema и xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance</p><li><strong>Revision</strong>. В этом параметре указывается версия ADMX-файла, которая в большинстве случаев предназначена для отслеживания внесенных изменений. Синтаксис этого параметра имеет следующий вид:</li><p>revision=&lt;MajorVersion.MinorVersion&gt;</p><p>где MajorVersion и MinorVersion являются номерами версии, и имеют формат XXXX, где X обозначает одиночную десятичную цифру, например <strong>revision=1.1</strong> или <strong>revision=1234.5678</strong>. Параметр является обязательным.</p><li><strong>schemaVersion</strong>. Данный параметр очень похож на revision, но его основное отличие в том, что при помощи него указывается версия схемы, используемая средствами работы с групповыми политиками для определения того, поддерживается ли ими формат конкретных ADMX-файлов. Синтаксис этой команды идентичен синтаксису revision. Обычно, данный параметр указывается следующим образом: <strong>schemaVersion=1.0</strong>. Параметр является обязательным.</li><li><strong>policyNamespaces</strong>. Этот элемент определяет уникальное пространство имен для данного ADMX-файла. Более подробно данный элемент будет рассмотрен ниже.</li><li><strong>supersededAdm</strong>. Данный элемент ссылается на имя ADM-файла, заменяемого ADMX-файлом. В этом случае, редактор управления групповой политикой не будет считывать любые ADM-файлы, обозначенные как заменяемые. Синтаксис данного элемента довольно простой:</li><br/><p><em>&lt;supersededAdm fileName=&lt;placeholder for ADM file name&gt; /&gt;</em></p><p>где в параметре fileName должно быть указано имя ADM-файла, заменяемого ADMX-файлом. Например, &lt;supersededAdm fileName=oldadm.adm /&gt;.</p><li><strong>Resources</strong>. Текущий элемент определяет требования для ресурсов определенного языка и минимальную необходимую версию связанного ADML-файла. Этот элемент более подробно будет рассмотрен ниже.</li><li><strong>supportedOn</strong>. Элемент, определяющий сопоставление ссылки на локализированные строки текста с операционными системами или приложениями, на которые влияют конкретные параметры политики. Более подробно будет рассмотрен ниже.</li><li><strong>Categories</strong>. Данный элемент содержит список категорий, в которых параметр политики текущего ADMX-файла будет отображаться в оснастке редактора управления групповыми политиками. Более подробно будет рассмотрено ниже.</li><li><strong>Policies</strong>. В этом элементе размещен список определений параметров политики. Также более подробно будет рассмотрен немного ниже.</li></ul><li><strong>Элемент policyNamespaces</strong>. Как было указано выше, данный элемент определяет уникальное пространство имен для текущего ADMX-файла. Помимо этого, данный элемент обеспечивает сопоставление с пространствами имен во внешних файлах, то есть, в том случае, если ADMX-файл ссылается на элементы <strong>category</strong>, определенные в другом ADMX-файле. Синтаксис у этого элемента следующий:</li><br/><p><em>&lt;policyNamespaces&gt;<br>&lt;target&gt; ... &lt;/target&gt;<br>&lt;using&gt; ... &lt;/using&gt;<br>&lt;/policyNamespaces&gt;<br></em></p><p>где:</p><ul><li><strong>target</strong>. Текущий параметр определяет уникальное имя пространства имен политики в ADMX-файле;</li><li><strong>using</strong>. Этот параметр указывает ссылку на существующую категорию из другого элемента <strong>policyNamespaces</strong>;</li></ul><li><strong>Элемент resources</strong>. Элемент ADMX-файла позволяет задавать минимальный уровень версии ADML-файла, а также позволяет указывать базовый язык. Текущий элемент включает в себя два вложенных атрибута, синтаксис которых можно увидеть ниже:</li><br/><p><em>&lt;resources minRequiredRevision=&lt;MajorVersion.MinorVersion&gt; fallbackCulture=&lt;placeholder for culture/language name&gt;/&gt;</em></p><p>где:</p><ul><li><strong>minRequiredRevision</strong>. Атрибут позволяет указать минимальный уровень версии ADML-файла;</li><li><strong>fallbackCulture</strong>. При помощи текущего атрибута вы можете указать язык, который будет использоваться по умолчанию, если ни в одном расположении не будет найден соответствующий ADML-файл. Если вы не укажите текущий атрибут, то по умолчанию будет использоваться английский язык;</li></ul><li><strong>Элемент supportedOn</strong>. Данный элемент является опциональным элементом в структуре ADMX-файла, то есть включать его не обязательно. При помощи элемента supportedOn вы можете обеспечить сопоставление продуктов с их определениями, то есть, вы можете указать в каких версиях операционных систем или программных продуктов запрещается помечать параметры групповой политики как устаревшие в случае, если параметр больше не применяется к текущей версии. С этим элементом не связан ни один атрибут, но вы можете использовать дочерний элемент definitions, который является элементом, определяющим набор параметров политики реестра. Синтаксис данного элемента следующий:</li><br/><p><em>&lt;supportedOn&gt;<br>&lt;definitions&gt; ... &lt;/definitions&gt;<br>&lt;/supportedOn&gt;<br></em></p><p>В следующей таблице указаны значения данного атрибута, определяющие операционные системы, на которые будет распространяться созданный вами параметр административного шаблона:</p><table><tbody><tr><td><p><strong>Значение SupportOn</strong></p></td><td><p><strong>Описание значения</strong></p></td></tr><tr><td><p>SUPPORTED_AllowWebPrinting</p></td><td><p>Windows 2000 или более поздние операционные системой, с поддержкой служб IIS, но не поддерживается <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a></p></td></tr><tr><td><p>SUPPORTED_IE6SP1</p></td><td><p>Не ниже <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a> 6.0</p></td></tr><tr><td><p>SUPPORTED_Win2k</p></td><td><p>Не ниже <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000</a></p></td></tr><tr><td><p>SUPPORTED_Win2kOnly</p></td><td><p>Только Windows 2000</p></td></tr><tr><td><p>SUPPORTED_Win2kSP1</p></td><td><p>Не ниже Windows 2000 <a href=http://www.outsidethebox.ms/11126/ target=_blank title=Service Pack 1 для Windows 7 - установка, интеграция, ответы на вопросы>SP1</a></p></td></tr><tr><td><p>SUPPORTED_Win2kSP3</p></td><td><p>Не ниже Windows 2000 SP3</p></td></tr><tr><td><p>SUPPORTED_Win2kSP3_Or_XPSP1</p></td><td><p>Не ниже Windows 2000 SP3 или Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a> SP1</p></td></tr><tr><td><p>SUPPORTED_WindowsNET</p></td><td><p>Не ниже Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsNETOnly</p></td><td><p>Только <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows 2003</a></p></td></tr><tr><td><p>SUPPORTED_WindowsNET_XP</p></td><td><p>Только Windows 2003 и Windows XP</p></td></tr><tr><td><p>SUPPORTED_WindowsPreVista</p></td><td><p>Только Windows Server 2003, Windows XP или Windows 2000</p></td></tr><tr><td><p>SUPPORTED_WindowsUpdate</p></td><td><p>Не ниже Windows 2000 SP3, Windows XP SP1 или семейства Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsVista</p></td><td><p>Не ниже Windows <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a></p></td></tr><tr><td><p>SUPPORTED_WindowsXP</p></td><td><p>Не ниже Windows XP или семейства Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsXP_Or_Vista</p></td><td><p>Не ниже Windows XP или Windows Vista</p></td></tr><tr><td><p>SUPPORTED_WindowsXP_SP1_W2K_SP4_NETSERVER</p></td><td><p>Не ниже Windows 2000 SP4, Windows XP SP1 или семейства Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsXP_SP2_W2K_SP5_NETSERVER_SP1</p></td><td><p>Не ниже Windows 2000 SP5, Windows XP SP2 или семейства Windows Server 2003 SP1</p></td></tr><tr><td><p>SUPPORTED_WindowsXPOnly</p></td><td><p>Только Windows XP</p></td></tr><tr><td><p>SUPPORTED_WindowsXPSP1</p></td><td><p>Не ниже Windows XP SP1 или семейства Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsXPSP2</p></td><td><p>Не ниже Windows XP SP2</p></td></tr><tr><td><p>SUPPORTED_WindowsXPSP2_Or_WindowsNET</p></td><td><p>Не ниже Windows XP SP2 или семейства Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_WindowsXPSP2_Or_WindowsNETSP1</p></td><td><p>Не ниже Windows XP SP2 или семейства Windows Server 2003 SP1</p></td></tr><tr><td><p>SUPPORTED_WindowsXPOrServerOnly</p></td><td><p>Только Windows XP или Windows Server 2003</p></td></tr><tr><td><p>SUPPORTED_Windows7</p></td><td><p>Не ниже Windows 7</p></td></tr></tbody></table><li><strong>Элемент categories</strong>. Используя этот элемент, вы можете указать таблицу элементов category, позволяющих задавать имя уникальной категории, которая будет отображаться в окне редактора объектов групповой политики. Этот элемент целесообразно использовать только в том случае, если элементы category указываются в ADML-файле. Элемент categories опасен тем, что из-за него вы случайно можете указать циклические ссылки, ссылаясь на элементы category других ADMX-файлов. Элемент category включает в себя следующий синтаксис:</li><br/><p><em>&lt;categories&gt;<br>&lt;category ... &lt;/category&gt;<br>&lt;/categories&gt;<br></em></p><li><strong>Элемент policies</strong>. Текущий элемент позволяет вам указать таблицу элементов policy, представляющих собой одиночный параметр групповой политики. Синтаксис этого элемента следующий:</li><br/><p><em>&lt;policies&gt;<br>&lt;policy&gt; ... &lt;/policy&gt;<br>&lt;/policies&gt;<br></em></p></ul><h2>Структура ADML-файла (файла языковых ресурсов)</h2><br><p>Как я уже говорил во введении этой статьи, в файлах ADML указываются языковые ресурсы, привязывающиеся к определенному языку, без которых ADMX-файл не будет корректно работать. Основная задача этого файла - обеспечение корректного отображения описания параметра политики, который можно будет найти в оснастке редактора управления групповыми политиками. Структура этого файла намного проще структуры ADMX-файла и ее вы можете увидеть на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/110310081553/admxl-04.JPG alt=* width=200 height=291/></p><p><strong>Рис. 3. Структура ADML-файла</strong></p><ul><li><strong>XML-объявление</strong>. Так же как и в случае с файлом ADMX, в этом файле XML-объявлением является заголовок файла, который не рассматривается в качестве фрагмента ADML-документа, но является его необходимой составляющей и помещается в начале всего файла для того, чтобы указать на то, что это XML-документ. О данном элементе вы можете прочитать в предыдущем разделе данной статьи;</li><li><strong>Элемент PolicyDefinitionResources</strong>. Этот элемент определяет сведения всех локализованных ресурсов с одним языком или набором региональных параметров в файле для каждого поддерживаемого языка или набора региональных параметров и содержит объявление пространства имен по умолчанию для всех элементов ADML-файла. Этот элемент включает в себя пять атрибутов: xmlns:xsd, xmlns:xsi, revision, schemaVersion и xmlns. Обо всех этих элементах уже говорилось ранее. Помимо этого, данный элемент содержит до четырех возможных дочерних элементов, которые вкратце описаны далее:<ul><li><strong>Элемент displayName</strong>, в котором указывается локализованное и понятное имя ADML-файла;</li><li><strong>Элемент description</strong>, позволяющий указать описание параметров политики, которые включены в соответствующий файл;</li><li><strong>Элемент annotation</strong>, в котором указывается локализованный комментарий;</li><li><strong>Элемент resources</strong>, считающийся родительским элементом для элементов stringTable и presentationTable, о которых речь пойдет немного ниже.</li></ul></li><p>Синтаксис данного элемента следующий:</p><br/><p><em>&lt;policyDefinitionResources xmlns:xsd=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance revision=&lt;MajorVerison.MinorVersion&gt; schemaVersion=&lt;MajorVerison.MinorVersion&gt; xmlns= http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions &gt;<br>&lt;displayName&gt; ... &lt;/displayName&gt;<br>&lt;description&gt; ... &lt;/description&gt;<br>&lt;annotation&gt; ... &lt;/annotation&gt;<br>&lt;resources&gt; ... &lt;/resources&gt;<br>&lt;/policyDefinitionResources&gt;<br></em></p><li><strong>Элемент stringTable</strong>. Используя этот элемент ADML-файла, вы можете указать сам заголовок параметра групповой политики, текст с описанием, текст со ссылкой на поддержку, названия категорий, а также подписи для параметров. Стоит обратить внимание на то, что элемент <strong>stringTable</strong> нельзя объявлять более одного раза. Данный элемент включает в себя вложенные элементы string, позволяющие определить все указанные выше данные. Синтаксис данного элемента следующий:</li><br/><p><em>&lt;stringTable&gt;<br>&lt;string&gt; ... &lt;/string&gt;<br>&lt;/stringTable&gt;<br></em></p><li><strong>Элемент presentationTable</strong>. Последний элемент представляет собой целую структуру дочерних элементов управления параметрами отдельных параметров групповой политики, включая в себя всевозможные флажки, переключатели, подписи, подсказки и прочее. Дочерними элементами являются элементы <strong>presentation</strong>, которые представляют собой отображаемые сведения параметров для параметров политики. Синтаксис для этого элемента имеет следующий вид:</li><br/><p><em>&lt;presentationTable&gt;<br>&lt;presentation&gt; ... &lt;/presentation&gt;<br>&lt;/presentationTable&gt;<br></em></p></ul><h2>Создание своего административного шаблона</h2><br><p>На первый взгляд все эти XML файлы со множеством родительских и дочерних элементов могут показаться очень сложными при создании своего собственного административного шаблона. Чтобы соответствующий материал вам было проще усвоить, в этом разделе я покажу, как можно создать свои ADMX и ADML файлы, предназначенные для управления двумя параметрами антивирусного программного обеспечения Microsoft Security Essentials. Сразу хотелось бы обратить ваше внимание на то, что данный антивирусный продукт можно использовать в SOHO компаниях, то есть там, где развертывается не более 10 компьютеров. Мы рассмотрим только три параметра, которые позволяют вам указывать тип проверки, а также ее периодичность. Для начала, перед созданием ADMX-файла, вам нужно узнать какие именно параметры в каких разделах системного реестра должны изменяться. При помощи программы ProcessMonitor от Марка Руссиновича или программы RegMon можно быстро отследить изменения в реестре и узнать, что при изменении опций в самом Microsoft Security Essentials, меняются следующие параметра реестра:</p><ol><li>Для того чтобы выполнять запланированную проверку, только когда компьютер включен, но не используется, в системный реестр вносятся следующие изменения:</li><br/><p><em>[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Antimalware\Scan]<br>ScanOnlyIfIdle=dword:00000001<br>;Опция включена<br>ScanOnlyIfIdle=dword:00000000<br>;Опция отключена<br></em></p><li>Для того чтобы ограничить использование ЦПУ при проверке, в реестре изменяется значение следующего параметра:</li><br/><p><em>[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Antimalware\Scan]<br>AvgCPULoadFactor=dword:00000000<br>;Опция отключена<br>AvgCPULoadFactor=dword:0000000a<br>;10%<br>AvgCPULoadFactor=dword:00000014<br>;20%<br>AvgCPULoadFactor=dword:0000001e<br>;30%<br>AvgCPULoadFactor=dword:00000028<br>;40%<br>AvgCPULoadFactor=dword:00000032<br>;50%<br>AvgCPULoadFactor=dword:0000003c<br>;60%<br>AvgCPULoadFactor=dword:00000046<br>;70%<br>AvgCPULoadFactor=dword:00000050<br>;80%<br>AvgCPULoadFactor=dword:0000005a<br>;90%<br>AvgCPULoadFactor=dword:00000064<br>;100%<br></em></p></ol><p>После того как вы узнали нужные параметры и значения реестра, можно приступать к созданию ADMX-файла.</p><p>Первым делом в ADMX-файле вам нужно указать XML-объявление и элемент policyDefinitions. Практически во всех случаях эти строки создаваемого вами XML-файла одинаковые. У вас они должны получиться примерно следующими:</p><p><em>&lt;?xml version=1.0 encoding=utf-8?&gt;<br>&lt;!-- Dmitry Bulanov, 2011 (c) --&gt;<br>&lt;policyDefinitions xmlns:xsd=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance revision=1.0 schemaVersion=1.0 xmlns=http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions&gt;<br></em></p><p>После этого необходимо заполнить элемент policyNamespaces, где нужно будет указать уникальное имя пространства имен, а также ссылку на существующую категорию из другого элемента policyNamespaces. Так как создается ADMX-файл для Microsoft Security Essentials, укажем префикс mse и назовем пространство имен Microsoft.Policies.MicrosoftSecurityEssentials, а также элемент resources, где зададим минимальный уровень версии ADML-файла 1.0, как показано ниже:</p><p><em>&lt;policyNamespaces&gt;<br>&lt;target prefix=mse namespace=Microsoft.Policies.MicrosoftSecurityEssentials /&gt;<br>&lt;using prefix=windows namespace=Microsoft.Policies.Windows /&gt;<br>&lt;/policyNamespaces&gt;<br>&lt;supersededAdm fileName=mse /&gt;<br>&lt;resources minRequiredRevision=1.0 /&gt;<br></em></p><p>Так как элемент supportedOn является опциональным элементом, в нашем случае мы опустим использование этого элемента. Поскольку для нашей группы административных шаблонов нужно указать группу, в которой будут расположены административные шаблоны антивирусного программного обеспечения, нужно добавить элемент categories, как показано в следующем листинге:</p><p><em>&lt;categories&gt;<br>&lt;category name=MicrosoftSecurityEssentials displayName=$(string.MicrosoftSecurityEssentials) explainText=$(string.MicrosoftSecurityEssentials_Help)&gt;<br>&lt;/category&gt;<br>&lt;/categories&gt;<br></em></p><p>Вот мы и дошли до самого интересного момента, когда нужно добавлять разделы и параметры системного реестра, которые будут использоваться как основа параметров групповых политик. На этом шаге стоит обратить внимание на то что, так как параметры реестра для Microsoft Security Essentials расположены только в разделе HKLM, в классе политики необходимо указать <strong>Machine</strong>. Эти параметры можно увидеть в следующем листинге, причем, что самое интересное, в данном листинге вы можете найти как переключатели, так и раскрывающиеся меню:</p><p><em>&lt;policies&gt;<br>&lt;policy name=SchedScanCheck class=Machine displayName=$(string.SchedScanCheck) explainText=$(string.SchedScanCheck_Help) key=Software\Microsoft\Microsoft Antimalware\Scan valueName=ScanOnlyIfIdle&gt;<br>&lt;parentCategory ref=MicrosoftSecurityEssentials /&gt;<br>&lt;supportedOn ref=windows:SUPPORTED_WindowsXPSP2 /&gt;<br>&lt;enabledValue&gt;<br>&lt;decimal value=1 /&gt;<br>&lt;/enabledValue&gt;<br>&lt;disabledValue&gt;<br>&lt;decimal value=0 /&gt;<br>&lt;/disabledValue&gt;<br>&lt;/policy&gt;<br>&lt;policy name=ScanSch class=Machine displayName=$(string.LimitCPUUsage) explainText=$(string.LimitCPUUsage_Help) presentation=$(presentation.LimitCPUUsage) key=Software\Microsoft\Microsoft Antimalware\Scan&gt;<br>&lt;parentCategory ref=MicrosoftSecurityEssentials /&gt;<br>&lt;supportedOn ref=windows:SUPPORTED_WindowsXPSP2 /&gt;<br>&lt;elements&gt;<br>&lt;enum id=LimitCPUUsageMode valueName=AvgCPULoadFactor required=true&gt;<br>&lt;item displayName=$(string.10perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=10 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.20perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=20 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.30perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=30 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.40perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=40 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.50perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=50 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.60perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=60 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.70perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=70 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.80perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=7 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.90perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=90 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;item displayName=$(string.100perc)&gt;<br>&lt;value&gt;<br>&lt;decimal value=100 /&gt;<br>&lt;/value&gt;<br>&lt;/item&gt;<br>&lt;/enum&gt;<br>&lt;/elements&gt;<br>&lt;/policy&gt;<br>&lt;/policies&gt;<br>&lt;/policyDefinitions&gt;<br></em></p><p>После того как ADMX-файл будет окончательно завершен, вам еще предстоит написать сам ADML-файл. Как вы уже знаете, структура этого файла намного проще. В этом файле следует оставить XML-объявление и элемент policyDefinitions такими же, как вы указывали в самом ADMX-файле. Обязательно обратить внимание на то, что весь текст в этом файле должен быть в кодировке UTF-8. В элементах displayName и description укажем, что данный административный шаблон создается для антивирусного программного обеспечения Microsoft Security Essentials. В элементе stringTable следует указать идентификаторы и описания для каждого уникального объекта, который был создан в ADMX-файле.</p><p>Наверное, самой сложной частью ADML-файла считается определение структуры элементов управления отдельных параметров групповой политики в элементе <strong>presentationTable</strong>. Так как в нашем случае только в одном параметре политики есть раскрывающиеся списки, необходимо указать дочерние элементы <strong>dropdownList</strong> с идентификаторами и описанием данных элементов управления. В итоге должен получиться следующий XML-файл:</p><p><em>&lt;?xml version=1.0 encoding=utf-8?&gt;<br>&lt;!-- Dmitry Bulanov, 2011 (c) --&gt;<br>&lt;policyDefinitionResources xmlns:xsd=http://www.w3.org/2001/XMLSchema xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance revision=1.0 schemaVersion=1.0 xmlns=http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions&gt;<br>&lt;displayName&gt;Microsoft Security Essentials&lt;/displayName&gt;<br>&lt;description&gt;Microsoft Security Essentials&lt;/description&gt;<br>&lt;resources&gt;<br>&lt;stringTable&gt;<br>&lt;string id=MicrosoftSecurityEssentials&gt;Политики Microsoft Security Essentials&lt;/string&gt;<br>&lt;string id=MicrosoftSecurityEssentials_Help&gt;Настройка различных параметров антивирусного программного обееспечения Microsoft Security Essentials&lt;/string&gt;<br>&lt;string id=SchedScanCheck&gt;Выполнять запланированную проверку, только когда компьютер включен, но не используется&lt;/string&gt;<br>&lt;string id=SchedScanCheck_Help&gt;Этот параметр позволяет выполнять запланированную проверку только в том случае, когда вы не пользуетесь компьютером.<br>При выборе параметра Включить будет включена данная опция.<br>Если вы выберите опцию Отключить, то проверка будет выполняться в строго отведенное вами время&lt;/string&gt;<br>&lt;string id=ScanSchDayMode&gt;Настройка периодичности сканирования Microsoft Security Essentials&lt;/string&gt;<br>&lt;string id=LimitCPUUsage&gt;Ограничить использование ЦПУ при проверке&lt;/string&gt;<br>&lt;string id=LimitCPUUsage_Help&gt;При помощи текущего параметра групповой политики вы можете ограничить использование ЦПУ при проверке. Значение по умолчнаию - 50%&lt;/string&gt;<br>&lt;string id=10perc&gt;10%&lt;/string&gt;<br>&lt;string id=20perc&gt;20%&lt;/string&gt;<br>&lt;string id=30perc&gt;30%&lt;/string&gt;<br>&lt;string id=40perc&gt;40%&lt;/string&gt;<br>&lt;string id=50perc&gt;50%&lt;/string&gt;<br>&lt;string id=60perc&gt;60%&lt;/string&gt;<br>&lt;string id=70perc&gt;70%&lt;/string&gt;<br>&lt;string id=80perc&gt;80%&lt;/string&gt;<br>&lt;string id=90perc&gt;90%&lt;/string&gt;<br>&lt;string id=100perc&gt;100%&lt;/string&gt;<br>&lt;/stringTable&gt;<br>&lt;presentationTable&gt;<br>&lt;presentation id=LimitCPUUsage&gt;<br>&lt;text&gt;Укажите лимит использования ЦПУ в процентах&lt;/text&gt;<br>&lt;dropdownList refId=LimitCPUUsageMode defaultItem=0&gt;Ограничить использование ЦПУ до: &lt;/dropdownList&gt;<br>&lt;/presentation&gt;<br>&lt;/presentationTable&gt;<br>&lt;/resources&gt;<br>&lt;/policyDefinitionResources&gt;<br></em></p><p>После того как вы поместите созданные файлы в папку Policy Definitions на локальном компьютере или в папку SYSVOL на контроллере домена, данные политики будут отображаться в оснастке редактора управления групповыми политиками.</p><h2>Заключение</h2><br><p>Из этой статье вы узнали о параметрах групповой политики, основанных на данных системного реестра, которые называются административными шаблонами. Вкратце была рассмотрена история развития административных шаблонов, структура ADMX-файла - файла, не зависящего от языка, структура ADML-файла - файла языковых ресурсов. Также, в данной статье был написан административный шаблон для управления антивирусным программным обеспечением - Microsoft Security Essentials.</p> http://www.microsoft.com/rus/business/smb/blog/65/ Microsoft for Business <h2>Описание доклада</h2><br /><p>Интеграция SharePoint 2010 с приложениями Microsoft Office, которая включает в себя следующие вопросы: </p><p>- Использование Word service; </p><p>- Использование Excel service; </p><p>- Использование WorkSpace; </p><p>- Использование Access service; </p><p>- Совместное использование Microsoft Outlook 2010 и контента SharePoint. </p><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL><input type=hidden id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId><input type=hidden value=http://www.techdays.in.ua/get.aspx?MID=be4edcf3-0967-4549-a0f8-6f0b6ec067b9 id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl><div style=height:400px;width:460px id=silverlightControlHost><div id=silverlightPlayer><object style=height:380px;width:460px type=application/x-silverlight-2 data=data:application/x-silverlight-2,><param value=http://www.techdays.in.ua/TechDaysPlayer.xap name=source><param value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=be4edcf3-0967-4549-a0f8-6f0b6ec067b9&amp;IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3716,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=be4edcf3-0967-4549-a0f8-6f0b6ec067b9&amp;width={0}&amp;height={1} name=initParams><param value=onSilverlightError name=onError><param value=white name=background><param value=3.0.40624.0 name=minRuntimeVersion><param value=true name=autoUpgrade><a style=text-decoration: none; href=http://go.microsoft.com/fwlink/?LinkID=124807><img style=border-style: none alt=Get Microsoft Silverlight src=http://www.techdays.in.ua/App_Themes/9-9/images/zaglushka.png></a></object></div><div style=display: none id=MediaPlayer><object style=height:380px;width:460px type=application/x-ms-wmp id=Player> <param value=http://www.techdays.in.ua/get.aspx?MID=be4edcf3-0967-4549-a0f8-6f0b6ec067b9&amp;IsSilverLight=false name=URL><param value=False name=AutoStart><param value=true name=stretchToFit><param value=true name=SendPlayStateChangeEvents></object></div> <iframe style=visibility: hidden; height: 0; width: 0; border: 0px></iframe> <div style=text-align:center; font-size: 14px; padding-bottom: 10px; class=PlayerSwitcher><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a style=display:none onclick=ChangeLink(true) href=javascript: id=silverlightLink>Watch using Silverlight</a> <a onclick=ChangeLink(false) href=javascript: id=WindowsMediaLink>Watch using Windows Media Player</a></div></div></div></div> http://www.microsoft.com/rus/business/smb/blog/64/ Microsoft for Business <p>Продолжение. Начало см. <a href=http://www.microsoft.com/rus/business/smb/blog/60/>здесь</a></p><h2>Утилита командной строки Gpresult.exe</h2><br><p>Утилита командной строки Gpresult.exe представляет собой средство, которое выводит на экран командной строки результирующую политику для пользователя или компьютера. Эта утилита обращается к тому же провайдеру WMI и генерирует такую же информацию, как и предыдущие утилиты, а также позволяет сохранять такие же графические отчеты. Помимо этого утилита командной строки Gpresult.exe, так же как и мастер результирующей групповой политики, позволяет извлекать подробную информацию о неполадках обработки и применения групповой политики. Стоит обратить внимание на то, что в отчетах анализа результирующей групповой политики могут указываться объекты групповой политики с некорректной областью действия или ошибками обработки, которые не позволяют применить параметры групповых политик. Данную утилиту вы можете использовать на всех операционных системах Windows, начиная с <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. Синтаксис у этой команды следующий:</p><p><em>Gpresult.exe [/s компьютер [/u домен\пользователь /p пароль]] [/user имя_конечного_пользователя] [/scope {user|computer}] [/r | /v | /z] [[/x | /h] [/f]]</em></p><p>Где доступны следующие параметры:</p><p><strong>/S</strong>. Значением данного параметра выступает имя или IP-адрес удаленного компьютера. Если не указывать параметр /s или в качестве имени использовать символ точки, то анализ результирующей групповой политики будет выполняться на локальном компьютере.</p><p><strong>/U</strong>. Если вы укажите этот параметр, то команда будет выполняться с разрешениями учетной записи локального пользователя или пользователя, расположенного в домене. Если данный параметр не будет задан, то команда будет выполняться с разрешениями текущего вошедшего пользователя компьютера, с которого выполняется данная команда.</p><p><strong>/P</strong>. Значением этого параметра выступает пароль для учетной записи пользователя, который был задан при помощи команды <strong>/U</strong>.</p><p><strong>/USER</strong>. Данный параметр указывает имя пользователя, для которого отображаются данные анализа результирующей групповой политики.</p><p><strong>/SCOPE</strong>. Текущий параметр позволяет указать отображение анализа результирующей групповой политики для параметров пользователя или компьютера. Допустимыми значениями для параметра <strong>/scope</strong> являются значения <strong>user</strong> или <strong>computer</strong>. Например, если вы укажите значение <strong>user</strong>, то в полученном отчете будут отображаться только параметры групповой политики пользователя. Если пропустить данный параметр, то будет выполняться анализ RSoP как пользовательских, так и компьютерных параметров политики.</p><p><strong>/R</strong>. Этот параметр отображает сводные данные результирующей групповой политики. При добавлении данного параметра никакие значения не требуются.</p><p><strong>/V</strong>. При помощи этого параметра вы можете отобразить подробные сведения результирующей групповой политики с детальной информацией.</p><p><strong>/Z</strong>. Данный параметр отображает максимально подробную информацию, в том числе сведения обо всех параметрах политики, применяемых к компьютеру или пользователю. Стоит обратить внимание на то, что параметры <strong>/R</strong>, <strong>/V</strong> и <strong>/Z</strong> одновременно использовать нельзя. Очень часто при использовании этого параметра отображается намного больше информации, чем при использовании параметра <strong>/V</strong>, поэтому для дальнейшего анализа желательно перенаправлять вывод команды в текстовый файл.</p><p><strong>/X</strong>. Используя данный параметр вы можете сохранить получившийся отчет в формате XML в папке и с именем файла, который вы должны указать как значения для этого параметра. Стоит обратить внимание на то, что этот параметр доступен в операционных системах, начиная с Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>.</p><p><strong>/H</strong>. Данный параметр позволяет сохранить отчет в формате HTML. Также как и с параметром <strong>/X</strong>, вам нужно указать расположение для файла и вы не можете использовать этот параметр в операционных системах Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a> и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a>. Также вы не можете применять оба параметра одновременно в одной команде.</p><p><strong>/F</strong>. Текущий параметр отвечает за принудительную перезапись существующего файла в случае использования параметров <strong>/X</strong> или <strong>/H</strong>.</p><p>В этом примере сгенерируем отчет результирующей групповой политики с пользовательскими настройками для локального компьютера и экспортируем его в HTML-файл с именем result.html в корне диска D:</p><p><em>Gpresult.exe /Scope user /H D:\result.html</em></p><p><a href=http://oszone.net/figs/u/72715/100728043608/gpresult-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100728043608/gpresult-01_mini_oszone.jpg alt=* width=480 height=242/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Выполнение отчета результирующей групповой политики из командной строки</strong></p><h2>Заключение</h2><br><p>В этой серии статье вы узнали об очередном функционале групповых политик - о таком компоненте как результирующая групповая политика. Результирующая политика представляет собой результат применения объектов групповых политик к пользователю или компьютеру с учетом всех связей GPO, исключений, а также фильтров безопасности и WMI и предоставляет сведения обо всех параметрах политики, которые задаются администратором, включая административные шаблоны, перенаправление папки, настройку веб-браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a>, параметры безопасности, сценарии и установку программ. Также вы узнали о трех средствах, позволяющих создавать результирующую групповую политику. Первым из этих средств является оснастка <strong>Результирующая политика</strong>, преимущество использования которой заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. В серверной операционной системе Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a>/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться <strong>Мастером результатов групповой политики</strong>, который включен в оснастку <strong>Управление групповой политикой</strong>. Третьим средством является утилита командной строки <strong>Gpresult.exe</strong>, которая представляет собой средство, которое выводит на экран командной строки результирующую политику для пользователя или компьютера.</p> http://www.microsoft.com/rus/business/smb/blog/63/ Microsoft for Business <p>В этой главе предоставляются вводные сведения о платформе Microsoft SharePoint 2010, с помощью которой можно создавать корпоративные сайты.</p><p>В этой части руководства рассматриваются следующие темы:</p><ul><li>Потребности бизнеса</li><li>SharePoint 2010</li><li>Сравнение редакций SharePoint 2010</li><li>Примеры внедрения</li></ul><h2>Потребности бизнеса</h2><br/><p>У большинства компаний разрозненная инфраструктура:</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image16.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb16.png?w=548&amp;h=318 width=90%/></a></p><p>Компания Microsoft учла требования бизнеса, которые также включали в себя надежность, гибкость, приемлемую стоимость, простоту использования для конечных пользователей и возможности расширения.</p><h2>SharePoint 2010</h2><br/><p>Был создан продукт, полностью удовлетворяющий указанным требованиям - SharePoint 2010, который решает следующие задачи:</p><ul><li>Организация электронного документооборота;</li><li>Автоматизация бизнес-процессов;</li><li>Совместная работа;</li><li>Бизнес-аналитика;</li><li>Интеграция.</li></ul><h2>Организация электронного документооборота</h2><br/><p>Если в компаниях нет электронного документооборота, то они сталкиваются с рядом проблем - большая часть документов требует согласования, получается путаница при подготовке одного документа несколькими сотрудниками, нарушаются сроки подготовки документов и их сложно контролировать, большая часть документов готовится на основе шаблонов.</p><p>SharePoint 2010 обеспечивает:</p><ul><li>Ведение единой базы документации - можно создавать структуру хранения документов любой сложности;</li><li>Лёгкий поиск - проиндексировав библиотеки, можно искать документы по названию, по содержимому, по ключевым словам или по идентификатору;</li><li>Прозрачные схемы согласования документов - любому пользователю доступна информация о процессах, происходящих во время согласования документов;</li><li>Контроль сроков подготовки документов.</li></ul><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image17.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb17.png?w=627&amp;h=267 width=90%/></a></p><p>Рис.1.1. Внешний вид портала на базе SharePoint для работы с файлами организации</p><h2>Автоматизация бизнес-процессов</h2><br/><p>Бизнес-процесс - это совокупность взаимосвязанных задач, направленных на создание услуги. В SharePoint автоматизация бизнес-процессов называется рабочим процессом, или Workflow. Workflow - это процесс, произвольное задание, выполняемое последовательно или параллельно двумя или более участниками рабочей группы с целью достижения общей цели.</p><p>Работу каждой компании обеспечивает множество бизнес-процессов, которые, как правило, не автоматизированы, в результате чего они непрозрачны для пользователя и их выполнение нарушается.</p><p>В результате анализа бизнес-процессов и их автоматизации компания получает:</p><ul><li>Прозрачность выполнения бизнес-процессов - каждому сотруднику доступна информация о внутренних шагах рабочего процесса;</li><li>Возможность эффективного использования времени сотрудников достигается благодаря четкому видению схемы работы.</li></ul><h2>Совместная работа</h2><br/><p>Часто при подготовке документов возникает потребность в совместной работе нескольких сотрудников. При помощи SharePoint 2010 можно организовать одновременную работу нескольких пользователей с одним документом.</p><p>Возможность ведения версий документов позволяет просматривать историю внесения изменений и восстанавливать предыдущие версии документов (рисунок 1.2).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image18.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb18.png?w=627&amp;h=375 width=90%/></a></p><p>Рис. 1.2. Журнал версий файлов на портале SharePoint с возможностью доступа к старым версиям файлов</p><p>Кроме этого, можно создавать рабочие области для собраний, причем для каждого собрания создается отдельная рабочая область, где участники могут размещать все связанные материалы, выставлять задачи участникам и отслеживать ход их решения, определить цели и повестку собрания.</p><p>Нельзя не заметить удобный механизм разграничения прав доступа, позволяющий достичь максимальной эффективности при совместной работе. Стоить отметить, что можно задавать права доступа не только на сайты, но также и на документы.</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image19.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb19.png?w=627&amp;h=375 width=90%/></a></p><p>Рис. 1.3. Разграничение прав доступа на портале SharePoint при работе с файлами предприятия</p><h2>Бизнес-аналитика</h2><br/><p>Поддержка широких возможностей бизнес-аналитики, которые позволяют сотрудникам эффективнее принимать решения за счет использования визуализации данных.</p><p>Применяя бизнес-аналитику как свой основной инструмент, конечные пользователи могут публиковать свои многофункциональные отчеты и модели на веб-страницах, создавая динамичные панели мониторинга (рисунок 1.4).</p><p><a href=http://dplotnikov.files.wordpress.com/2011/05/image20.png><img src=http://dplotnikov.files.wordpress.com/2011/05/image_thumb20.png?w=628&amp;h=375 width=90%/></a></p><p>Рис. 1.4. Бизнес-аналитика на портале SharePoint</p><p>В качестве источников данных могут использоваться книги Excel, списки SharePoint или базы данных SQL Server.</p><h2>Интеграция</h2><br/><p>Интеграция с продуктами Microsoft, такими как Office, почтовым сервером Exchange, коммуникационным сервером Lync Server, сервером баз данных SQL Server позволяет достичь максимальной эффективности работы компании.</p><h2>Сравнение редакций SharePoint 2010</h2><br/><p>Есть два выпуска SharePoint - Foundation и Server. В SharePoint Server может быть разрешена функциональность Standard или расширенная Enterprise. Причем функционал определяется лицензиями клиентского доступа, а не серверным продуктом.</p><p>SharePoint Foundation - базовый продукт, который поставляется бесплатно. Стоит отметить, что в поставку не входит лицензия на Windows Server.</p><p>Среди возможностей можно отметить</p><ul><li>Блоги сотрудников;</li><li>Службы Business Connectivity - возможность подключения к внешним данным;</li><li>Веб части - более 40 преднастроенных веб частей для расширения функциональности;</li><li>Управление правами - управление собственным набором прав для пользователей;</li><li>Возможность резервного копирования и восстановления;</li><li>Пакеты решений - возможность внедрения готовых пакетов решений;</li><li>Поиск по сайту или списку.</li></ul><p>В SharePoint Server Standard появляется функционал, позволяющий объединить несколько сайтов подразделений в единый корпоративный портал.</p><p>Среди ключевых возможностей можно отметить</p><ul><li>Организатор данных - позволяет настроить автоматическое направление контента в соответствующие библиотеки документов;</li><li>Наборы документов - возможность создать набор документов и работать с ним как с одной записью;</li><li>Федеративный поиск - поиск по множеству источников;</li><li>Мой профиль - возможность создания личных страниц сотрудников;</li><li>Навигация по метаданным - возможность легкого поиска документов с использованием тегов и атрибутов;</li><li>Идентификаторы документов - документ можно найти по идентификатору даже в случае его перемещения.</li></ul><p>SharePoint Server Enterprise позволяет построить полноценную бизнес-платформу. Данная редакция обеспечивают полную интеграцию с внешними системами, бизнес-приложениями, веб-службами и Microsoft Office, а также позволяет принимать оптимальные решения благодаря широкой визуализации данных, инструментальным панелям и системам показателей, создавать и поддерживать надежные приложения, разнообразные веб-формы и решения на основе рабочих процессов.</p><p>Подробное сравнение редакций можно найти на странице <a href=http://sharepoint.microsoft.com/en-us/buy/Pages/Editions-Comparison.aspx target=_blank>http://sharepoint.microsoft.com/en-us/buy/Pages/Editions-Comparison.aspx</a>.</p><h2>Примеры внедрения</h2><br/><h2>Внедрение автоматизированной системы управления маркетинговыми фондами партнеров для ЗАО Лаборатория Касперского</h2><br/><p>Внедрена единая система управления маркетинговыми фондами партнеров, которая реализовала следующие функции:</p><ul><li>Централизованное хранение заявок на маркетинговые активности;</li><li>Полный цикл согласования заявки внутри Лаборатории Касперского в рамках Системы;</li><li>Гибкая система отчетности.</li></ul><p>Также проведена стандартизация формата подачи заявок на маркетинговые активности и отчетности по проведенным мероприятиям.</p><h2>Создание корпоративного интранет-портала для ОАО Мобильные ТелеСистемы</h2><br/><p>Решение обеспечило реализацию всех основных задач, обозначенных МТС в рамках проекта. В том числе, организацию совместной работы, публикацию информации, поддержку внутренних коммуникаций и общения сотрудников, автоматизацию организационных бизнес-процессов компании. Модульная архитектура позволила осуществить поэтапное внедрение решения и максимально сократить сроки запуска в эксплуатацию базовой конфигурации портала.</p><p>В этой главе мы рассмотрели цели, для которых был создан SharePoint, а также сравнили редакции продукта. В следующей главе рассматривается установка SharePoint 2010.</p> http://www.microsoft.com/rus/business/smb/blog/62/ Microsoft for Business <h2>Введение</h2><br><p>Из четырех предыдущих статей, которые посвящены локальным политикам безопасностям, вы уже научились многим методам обеспечения безопасности рабочих мест ваших пользователей. Вы знаете, как можно задать ограничения на пароли учетных записей, управлять политиками аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей, а также научились определять, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Почти всю информацию об ошибках, произошедших на компьютерах пользователей вашей организации можно узнать из журналов событий. С оснасткой <strong>Просмотр событий</strong> вы можете ознакомиться из цикла статей, посвященных данному средству. В этой статье вы узнаете о централизованном управлении настроек журналами событий компьютеров вашей организации, используя локальные политики безопасности.</p><h2>Политики журналов событий</h2><br><p>Задать настройки журналов событий вы можете при помощи четырех политик безопасности, предназначенных для трех основных журналов - журнала безопасности, журнала приложений, а также системного журнала. Ниже вы узнаете обо всех локальных политиках безопасности, используя которые вы можете управлять журналами событий ваших пользователей. Для того чтобы перейти к настройке политик журналов событий, в редакторе управления групповыми политиками откройте узел <strong>Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Журнал событий</strong>. Политики журналов событий вы можете увидеть на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100426103357/secpol5-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-01_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Узел Журнал событий</strong></p><p>Рассмотрим подробно каждую политику данного узла:</p><p><strong>Запретить доступ для локальной группы гостей к журналу безопасности</strong>. Данная политика безопасности может быть применена только к операционным системам, которые предшествуют <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a>. Применяется данная политика с целью ограничения локальной группы гостей, использующих анонимный вход в систему для журнала безопасности в операционных системах <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a> и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000</a>. По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a> - включена.</p><p><strong>Запретить доступ для локальной группы гостей к журналу приложений</strong>. Действия этой политики безопасности аналогичны политике <strong>Запретить доступ для локальной группы гостей к журналу безопасности</strong>. Эта политика отличается от предыдущей только тем, что используя параметры текущей политики, вы можете ограничить гостевых пользователей в доступе к журналу <strong>Приложения</strong>. По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.</p><p><strong>Запретить доступ для локальной группы гостей к системному журналу</strong>. Текущая политика безопасности также как и две предыдущих политики, позволяет пользователям операционных систем Windows XP и Windows 2000 запрещать локальным гостям с анонимным входом в систему иметь доступ к журналу <strong>Система</strong>. По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.</p><p><strong>Максимальный размер журнала безопасности</strong>. В одной из статей посвященных управлению журналами событий я рассказывал о том, как вы можете изменить максимальный размер различных журналов при помощи графического интерфейса или командной строки. Если вам нужно указать максимальный размер определенного журнала для целой группы пользователей, то вы можете упростить себе эту задачу и воспользоваться текущей политикой безопасности. Эта политика безопасности позволяет указывать максимальный размер журнала Безопасность. Максимальный размер журнала может достигать 4 Гб, но обычно указывают максимальный размер не более 500 Мб. Ограничение размера журнала безопасности может привести к затиранию важных событий, так как по достижению порогового объема, у вас будут удаляться самые старые события, и вместо них будут записываться новые. Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Обычно, есть смысл увеличивать размер журнала событий только в том случае, если есть необходимость в тщательной обработке событий безопасности и сохранении журнала на протяжении длительного периода времени. По умолчанию в операционной системе Windows 7 и Windows Vista размер журнала безопасности составляет 20 Мб, в Windows Server 2008 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> - 128 Мб, для операционных систем <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a> - 16 Мб, а Windows XP - 8 Мб.</p><p><strong>Максимальный размер журнала приложений</strong>. Настройки этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать максимальный размер журнала Приложения для компьютеров и пользователей на которых будет распространена область действия объекта групповой политики.</p><p><strong>Максимальный размер системного журнала</strong>. От предыдущих двух политик безопасности данная политика отличается лишь тем, что она отвечает за максимальный размер журнала <strong>Система</strong>.</p><p><strong>Метод сохранения событий в журнале безопасности</strong>. Данная политика безопасности напрямую связана с политиками <strong>Максимальный размер журнала безопасности</strong> и <strong>Сохранять события в журнале безопасности</strong> в связи с тем, что эта политика отвечает за перезапись журнала безопасности по превышению установленного лимита на размер. Для вас доступно одно из трех значений. При выборе значения <strong>Затирать события по необходимости</strong>, по истечению свободного места в журнале, все старые события будут удаляться, и перезаписываться новыми. Обычно это значение используется в том случае, если у вас нет необходимости в архивировании событий указанного журнала. Значение <strong>Затирать события по дням</strong> целесообразно использовать в том случае, если у вас выполняется архивирование журнала по заданному промежутку времени, которое указывается при помощи политики <strong>Сохранять события в журнале безопасности</strong>. В этом случае будут удаляться все события в данном журнале по истечении указанного срока. Также в этом случае стоит обратить внимание на то, чтобы максимальный размер журнала позволял вам сохранять все события за указанный промежуток времени. Значение <strong>Не затирать события (чистка журнала вручную)</strong> обычно используется в том случае, когда есть необходимость в сохранении всех событий непосредственно в журнале. Но стоит учесть, что после того как журнал достигнет максимального размера, все новые события будут просто отклоняться.</p><p><strong>Метод сохранения событий в журнале приложений</strong>. Параметры этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать настройки сохранения событий для журнала <strong>Приложения</strong> компьютеров и пользователей, на которых будет распространена область действия объекта групповой политики.</p><p><strong>Метод сохранения событий в системном журнале</strong>. Эта политика безопасности предназначена для настройки сохранения событий в журнале <strong>Система</strong>.</p><p><strong>Сохранять события в журнале безопасности</strong>. Текущая политика безопасности определяет, как долго могут сохраняться события в журнале <strong>Безопасность</strong> в том случае, если для политики <strong>Метод сохранения событий в журнале безопасности</strong> указано значение <strong>Затирать события по дням</strong>. Помимо этого вам нужно убедиться в том, что размер вашего журнала позволяет сохранять события за указанный промежуток времени, так как после достижения журналом максимального размера, все новые события будут просто отклоняться.</p><p><strong>Сохранять события в журнале приложений</strong>. Эта политика безопасности предназначена для определения количества дней, на протяжении которых в журнале <strong>Приложения</strong> будут сохраняться события.</p><p><strong>Сохранять события в системном журнале</strong>. Параметры этой политики безопасности идентичны настройкам предыдущих двух политик за исключением того, что здесь вы можете указать период времени хранения событий для журнала <strong>Система</strong> компьютеров и <a>пользователей</a>, на которых будет распространена область действия объекта групповой политики.</p><h2>Примеры использования политик журналов событий</h2><br><p>Разберемся с настройками политик безопасности журналов событий на живом примере. В этом примере мы определим настройки журналов событий <strong>Приложения</strong>, <strong>Безопасность</strong> и <strong>Система</strong> для группы <strong>Бухгалтерия</strong> организации. Предположим, что в вашем отделе бухгалтерии все компьютеры оснащены операционными системами Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, в связи с чем, параметры политики <strong>Запретить доступ для локальной группы гостей к журналу .</strong> не будут задействованы. Выполните следующие действия:</p><ol><li>На контроллере домена создайте группу безопасности <strong>Бухгалтерия</strong> и поместите ее в подразделение <strong>Группы</strong>;</li><li>Откройте консоль <strong>Управление групповой политикой</strong>, где выберите контейнер <strong>Объекты групповой политики</strong> и нажмите на этом контейнере правой кнопкой мыши для отображения <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a>;</li><li>В контекстном меню выберите команду <strong>Создать</strong> и в отобразившемся диалоговом окне <strong>Новый объект групповой политики</strong> введите <strong>Политики журналов событий для отдела бухгалтерии</strong>, после чего нажмите кнопку <strong>ОК</strong>;</li><li>Выберите данный объект групповой политики и из контекстного меню выберите команду <strong>Изменить</strong>, как показано на следующей иллюстрации:<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-02.JPG alt=* width=480 height=516/></p><p><strong>Рис. 2. Изменение Политики журналов событий для отдела бухгалтерии</strong></p></li><li>В появившемся окне <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Журнал событий</strong> и выберите политику <strong>Максимальный размер журнала безопасности</strong>;</li><li>В диалоговом окне <strong>Свойства: Максимальный размер журнала безопасности</strong> установите флажок <strong>Определить следующий параметр политики</strong> и в соответствующем текстовом поле установите значение в 30 МБ, что равняется 30720 КБ, как показано ниже:<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-03.jpg alt=* width=421 height=500/></p><p><strong>Рис. 3. Настройка максимального размера журнала безопасности</strong></p></li><li>Предположим, что в отделе безопасности установлены надежные пароли, назначены все необходимые права для пользователей этой группы и у вас нет необходимости в аудите журналов безопасности этого отдела. Откройте свойства политики <strong>Метод сохранения событий в журнале безопасности</strong>. В диалоговом окне свойств политики установите флажок <strong>Определить следующий параметр политики</strong> и выберите значение <strong>Затирать старые события по необходимости</strong>. Теперь, по достижении 30 Мб самые старые события в журналах безопасности отдела бухгалтерии будут перезаписываться новыми;<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-04.jpg alt=* width=421 height=500/></p><p><strong>Рис. 4. Настройка метода сохранения событий в журнале безопасности</strong></p></li><li>Для журналов приложений группы бухгалтерии регистрируется не очень много событий, поэтому в настройках политики <strong>Максимальный размер журнала приложений</strong> укажем значение 25600 КБ, что равняется 25 МБ;</li><li>Вы не хотите, чтобы журнал <strong>Приложения</strong> для отдела бухгалтерии вашей организации перезаписывался, но не ведете его архивацию. Допустим, вы периодически его просматриваете и очищаете вручную. Для этого в политике <strong>Метод сохранения событий в журнале приложений</strong> установите значение <strong>Не затирать события (чистка журнала вручную)</strong>. Но вам необходимо учесть, что если вы не будете самостоятельно чистить данный журнал, то, в конечном счете, новые события не будут фиксироваться в журналах приложений отдела бухгалтерии;</li><li>Последний журнал, который вам предстоит настроить - это журнал <strong>Система</strong>. В политике <strong>Максимальный размер системного журнала</strong> установите размер 20 МБ, что является 20480 КБ;</li><li>По требованиям безопасности вашей организации вам необходимо создавать архивные копии системных журналов для всех групп безопасности. Поэтому в политике <strong>Метод сохранения событий в системном журнале</strong> выберите значение <strong>Затирать старые события по дням</strong>. По нажатию на кнопку <strong>ОК</strong> перед вами будет отображен диалог <strong>Предлагаемые изменения значений</strong>, в котором указывается, что для политики <strong>Сохранять события в системном журнале</strong> будет установлено значение 7 дней. Это значение как раз соответствует требованиям по архивации системного значения и по нажатию закрытия данного диалога не будет необходимости в редактировании этой политики безопасности;<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-05.jpg alt=* width=480 height=212/></p><p><strong>Рис. 5. Предлагаемые изменения значений политики Сохранять события в системном журнале</strong></p></li><li>По окончанию настроек политик журналов событий, содержимое оснастки <strong>Редактор управления групповыми политиками</strong> будет выглядеть следующим образом:<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-06.JPG alt=* width=480 height=220/></p><p><strong>Рис. 6. Настроенные политики журналов событий</strong></p><p>Закройте данную оснастку.</p></li><li>После закрытия оснастки <strong>Редактор управления групповыми политиками</strong> вам нужно привязать отредактированный объект групповой политики к группе безопасности <strong>Бухгалтерия</strong>. Для этого в оснастке <strong>Управление групповой политикой</strong> выберите контейнер <strong>Группы</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики.</strong>. В диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите объект <strong>Политики журналов событий для отдела бухгалтерии</strong> и нажмите на кнопку <strong>ОК</strong>;<br/><p><img src=http://oszone.net/figs/u/72715/100426103357/secpol5-07.jpg alt=* width=453 height=404/></p><p><strong>Рис. 7. Выбор привязываемого объекта групповой политики</strong></p></li><li>Разверните подразделение <strong>Группы</strong>, выберите объект <strong>Политики журналов событий для отдела бухгалтерии</strong> и на вкладке <strong>Область</strong>, и в области <strong>Фильтры безопасности</strong> удалите фильтр <strong>Прошедшие проверку</strong>. После этого нажмите на кнопку <strong>Добавить</strong> и выберите группу <strong>Бухгалтерия</strong>, которая заранее была создана;</li><li>Перейдите на клиентские машины и обновите групповые политики, используя команду <strong>Gpupdate</strong>;</li></ol><h2>Заключение</h2><br><p>В этой статье я продолжил описание локальных политик безопасности, которые помогут максимально защитить клиентские компьютеры вашей организации средствами групповых политик. Вы узнали о настройках политик журналов событий, при помощи которых вы можете задавать максимальный размер, выбирать метод сохранения событий, а также определять период времени, на протяжении которого события будут сохраняться в трех основных журналах. В предоставленном примере была проиллюстрирована процедура применения данных политик. В следующей статье вы узнаете о назначении параметров безопасности политик групп с ограниченным доступом, системных служб, реестра, а также файловой системы.</p> http://www.microsoft.com/rus/business/smb/blog/61/ Microsoft for Business <p>Продолжение. Начало см. <a href=http://www.microsoft.com/rus/business/smb/blog/57/>здесь</a></p><h2>Мастер результатов групповой политики</h2><br><p>В серверной операционной системе <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться <strong>Мастером результатов групповой политики</strong>, который включен в оснастку <strong>Управление групповой политикой</strong>. Помимо оснастки управления групповой политикой вы можете вызывать <strong>Мастер результатов групповой политики</strong> непосредственно из оснастки <strong>Active Directory - пользователи и компьютеры</strong> или оснастки <strong>Active Directory - сайты и службы</strong>, о чем вы узнаете из процедур, описанных в данной статье. Как уже говорилось в предыдущей части статьи, результирующая политика использует базу данных CIMOM через инструментарий управления Windows (WMI) и при входе компьютера в сеть, в базу данных CIMOM записываются различные сведения. Но в отличие от базы данных CIMOM службы Active Directory сохраняют объекты вне зависимости от состояния компьютера или пользователя. Для хранения параметров в групповой политике используются объекты групповой политики непосредственно из Active Directory.</p><h2>Генерирование отчета результирующей политики с помощью функционала Мастер результатов групповой политики</h2><br><p>Перед выполнением отчета вам следует убедиться, что вы обладаете достаточным количеством прав для выполнения отчета на локальном или удаленном компьютере, на конечном компьютере установлена операционная система не ниже <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>, открыты порты 135 и 445, предназначенные для доступа к WMI. Помимо этого необходимо, чтобы служба WMI была запущена, а также пользователь, для которого выполняется анализ, как минимум один раз выполнял вход в систему. Для того чтобы сгенерировать отчет результирующей политики, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>;</li><li>В дереве консоли нажмите правой кнопкой мыши на узле <strong>Результаты групповой политики</strong> и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Мастер результатов групповой политики.</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-01.JPG alt=* width=480 height=193/></p><p><strong>Рис. 1. Открытие компонента Мастер результатов групповой политики</strong></p><li>На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Выбор компьютера</strong>, так же, как и в оснастке rsop.msc вам предстоит выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Для того чтобы указать удаленный компьютер, установите переключатель на <strong>Другой компьютер</strong>, нажмите на кнопку <strong>Обзор</strong> и выберите искомый компьютер, используя функционал диалогового окна <strong>Выбор компьютера</strong>. Если вы не хотите, чтобы в получившемся отчете отображались результаты параметров политики компьютера, установите флажок <strong>Не отображать параметры политики для выбранного компьютера</strong>. По окончанию выбора компьютера нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-03.jpg alt=* width=480 height=426/></p><p><strong>Рис. 2. Страница Выбор компьютера мастера результатов групповой политики</strong></p><li>На следующей странице, странице <strong>Выбор пользователя</strong> вы можете указать пользователя, который находится на выбранном вами компьютере, для которого и будет генерироваться данный отчет. Также как и на предыдущем шаге, вы можете не отображать в получившемся отчете параметры политики пользователя, установив переключатель на соответствующую опцию. После выбора действий на данной странице нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-04.jpg alt=* width=480 height=426/></p><p><strong>Рис. 3. Страница Выбор пользователя мастера результатов групповой политики</strong></p><li>Страница <strong>Сводка выбранных параметров</strong> предназначена для того чтобы вы могли перепроверить все выбранные параметры для отчета результирующей групповой политики. Если вы по ошибке не выбрали какой-то параметр, вы всегда можете вернуться на соответствующую страницу, нажав на кнопку <strong>Назад</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-05.jpg alt=* width=480 height=426/></p><p><strong>Рис. 4. Страница Сводка выбранных параметров мастера результатов групповой политики</strong></p><li>Последняя страница мастера, страница <strong>Завершение мастера результатов групповой политики</strong> говорит о том, что выполнение отчета было успешно завершено. Теперь для того чтобы просмотреть получившийся отчет результирующей групповой политики вам нужно только нажать на кнопку <strong>Готово</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-06.jpg alt=* width=480 height=426/></p><p><strong>Рис. 5. Завершающий этап создания результирующей групповой политики</strong></p></ol><h2>Анализ сгенерированного отчета результирующей групповой политики</h2><br><p>После выполнения отчета, мастер выведет подробный отчет результирующей групповой политики в формате HTML. Также как и во всех отчетах оснастки <strong>Управление групповой политикой</strong>, в случае с включенной конфигурацией усиленной безопасности браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a>, вам будет предложено разрешить консоли отображать все динамическое содержимое отчета. Помимо этого вы можете развернуть или свернуть любую секцию полученного отчета, нажав на ссылки <strong>Показать</strong> или <strong>Скрыть</strong>. Отчет результатов групповой политики содержит три вкладки с данными обработки объектов групповой политики.</p><p>Вкладка <strong>Сводка</strong>. На этой вкладке отображается состояние обработки групповой политики в последнем обновлении, а также сводные данные результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:</p><ul><li><strong>Общие данные</strong>, где вы можете узнать об имени компьютера, его расположении в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;</li><li><strong>Объекты групповой политики</strong>, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;</li><li><strong>Имитация членства в группе безопасности для пользователя или компьютера</strong>, которая отображает все группы, членом которых является данный объект;</li><li><strong>Список WMI фильтров</strong>, которые связаны с групповой политикой и будут включены в конечный запрос;</li><li><strong>Состояние компьютера</strong>, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.</li></ul><p>Вкладка <strong>Сводка</strong> отображена на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-07_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Вкладка Сводка отчета результирующей групповой политики</strong></p><p>Вкладка <strong>Параметры</strong>. На этой вкладке вы можете увидеть результирующий набор параметров групповой политики, которые применяются к пользователю или компьютеру, для которых был сгенерирован данный отчет. Здесь указаны абсолютно все действия, которые на данный момент применяются в результате реализации групповой политики. Несмотря на то, что данный отчет максимально подробный, некоторые параметры, такие как параметры дисковых квот и беспроводных сетей отображаться не будут. Вкладку <strong>Параметры</strong> отчета результирующей групповой политики вы можете увидеть ниже:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-08.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-08_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Вкладка Параметры отчета результирующей групповой политики</strong></p><p>Вкладка <strong>События политики</strong>. Данная вкладка среди всех отчетов является уникальной, и она отображается только для данного отчета. На ней отображены все события групповой политики из журналов событий компьютера, для которого выполнялся отчет результирующей групповой политики. При выполнении двойного щелчка на любом событии откроются его свойства, что позволяет подробно ознакомиться с выбранным событием в случае ошибки. Вкладку <strong>События политики</strong> вы можете увидеть на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-09.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-09_mini_oszone.JPG alt=* width=480 height=249/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Вкладка События политики отчета результирующей групповой политики</strong></p><h2>Сохранение отчета результирующей групповой политики</h2><br><p>После того как отчет результирующей групповой политики будет сформирован, вы можете сохранить существующий отчет в HTML или XML формате, с поддержкой динамического развертывания секция для дальнейшего изучения. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду <strong>Сохранить отчет</strong>. В открывшемся диалоговом окне <strong>Сохранение отчета объекта групповой политики</strong> выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-10.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-10_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Сохраненный отчет результирующей групповой политики</strong></p><h2>Генерирование отчета результирующей политики для домена, подразделения или сайта из оснастки Active Directory - пользователи и компьютеры</h2><br><p>Как было указано выше, вы можете формировать отчеты результирующей групповой политики не только для пользователей или компьютеров вашей организации. При помощи оснастки <strong>Active Directory - пользователи и компьютеры</strong> вы можете составлять отчеты для подразделений и доменов своей организации. Для того, чтобы сгенерировать отчет результирующей групповой политики в режиме планирования для домена вашей организации, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong>;</li><li>В дереве консоли данной оснастки выберите домен, для которого хотите сгенерировать RSoP отчет, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Все задачи</strong>, а затем команду <strong>Результирующая политика (Планирование).</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-11.JPG alt=* width=480 height=328/></p><p><strong>Рис. 10. Открытие мастера результирующей политики из оснастки Active Directory - пользователи и компьютеры</strong></p><li>На первой странице мастера выберите контейнер, для которого будет выполняться отчет. По умолчанию выбран тот домен или подразделение, для которого была выполнена команда из пункта 2 данной процедуры. При необходимости вы можете выбрать другой контейнер или указать пользователя и компьютер. Если для вашего сценария достаточно действий, которые можно указать на этой странице, вы можете сразу перейти к последнему шагу, установив флажок <strong>Перейти к последней странице, не собирая дополнительных данных</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-12.jpg alt=* width=480 height=426/></p><p><strong>Рис. 11. Выбор контейнера для выполнения отчета RSoP</strong></p><li>На следующем шаге вы можете выбрать сайт, а также указать дополнительные параметры. Страница <strong>Дополнительные параметры эмуляции</strong> отображена ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-13.JPG alt=* width=480 height=430/></p><p><strong>Рис. 12. Страница Дополнительные параметры эмуляции мастера</strong></p><li>На страницах <strong>Группы безопасности пользователя</strong> и <strong>Группы безопасности компьютера</strong>, вы можете указать группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий;</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-14.jpg alt=* width=480 height=426/></p><p><strong>Рис. 13. Страница Группы безопасности пользователя мастера</strong></p><li>На следующих двух страницах вам предстоит выбрать WMI фильтры, которые могут быть привязаны к объектам групповой политики. Одна из таких страниц отображена ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-16.jpg alt=* width=480 height=426/></p><p><strong>Рис. 14. Страница Фильтры WMI для пользователей мастера</strong></p><li>На следующем шаге, странице <strong>Сводка выбранных параметров</strong> вы можете просмотреть все настройки генерируемого отчета. Данная страница отображена ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-17.jpg alt=* width=480 height=426/></p><p><strong>Рис. 15. Страница Сводка выбранных параметров мастера</strong></p><li>По завершении выполнения отчета вы увидите соответствующую страницу, и вам нужно будет только нажать на кнопку <strong>Готово</strong>.</li></ol><p>После выполнения указанных выше действий откроется оснастка <strong>Результирующая политика</strong>, в которой вы можете просмотреть все параметры политики, а также исходные объекты GPO, которые будут выполняться для выбранного вами контейнера. Данная оснастка отображена на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-19.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-19_mini_oszone.jpg alt=* width=480 height=313/><br/>Увеличить рисунок</a></p><p><strong>Рис. 16. Оснастка Результирующая политика с отчетом RSoP</strong></p><p>Помимо всех вышеперечисленных возможностей, вы также можете выполнять запрос результирующей групповой политики для указанного вами сайта. Для того чтобы сгенерировать такой отчет, вам нужно открыть оснастку <strong>Active Directory - сайты и службы</strong>. Находясь в этой оснастке, в дереве консоли выберите сайт, для которого вам нужно сгенерировать отчет, нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду <strong>Все задачи</strong>, а затем команду <strong>Результирующая политика (Планирование).</strong>, как показано на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100712063352/rsop2-20.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-20_mini_oszone.JPG alt=* width=480 height=333/><br/>Увеличить рисунок</a></p><p><strong>Рис. 17. Открытие мастера результирующей политики из оснастки Active Directory - сайты и службы</strong></p><p>Для формирования отчета вам нужно выполнить все действия, указанные в предыдущей процедуре. Основным отличием является лишь то, что в данном способе формирования результирующей групповой политики невозможно изменить имя сайта в запросе RSoP. Это видно на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/100712063352/rsop2-21.JPG alt=* width=480 height=426/></p><p><strong>Рис. 18. Выбор сайта при формировании отчета RSoP из оснастки Active Directory - сайты и службы</strong></p><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/60/ Microsoft for Business <h2>Введение</h2><p>В статье <a href=http://www.microsoft.com/rus/business/smb/blog/56/>Работа с оснасткой Шаблоны безопасности</a> вы узнали об альтернативном способе развертывания групповых политик безопасности - создании текстовых файлов с расширением *.inf, предназначенных для развертывания политик в предприятиях SOHO (Малый офис домашний офис). Для использования шаблонов безопасности в операционных системах Windows доступны два средства - оснастка <strong>Анализ и настройка безопасности</strong>, а также утилита командной строки <strong>Secedit.exe</strong>. Ввиду того, что в вышеперечисленных предприятиях используется сетевая инфраструктура без домена, для обеспечения безопасности, групповые политики разворачиваются при помощи данной оснастки. Для развертывания политик, сохраненных в inf файле в доменной сети, используется оснастка <strong>Консоль управления групповыми политиками</strong>. Помимо интерактивного развертывания, оснастка <strong>Анализ и настройка безопасности</strong> также позволяет анализировать конфигурацию компьютера и сравнивать ее с теми настройками, которые указаны в конфигурационном файле шаблона безопасности. В данной статье речь пойдет именно об этой оснастке.</p><h2>Открытие оснастки Анализ и настройка безопасности</h2><p>Так же, как и оснастка <strong>Шаблоны безопасности</strong>, оснастка <strong>Анализ и настройка безопасности</strong> по умолчанию скрыта, и вы ее не сможете найти в компоненте <strong>Администрирование</strong> ни на клиентской, ни на серверной операционной системе. Для использования этой оснастки, добавьте ее в консоль управления Microsoft. Вы можете это сделать следующим способом:</p><ol><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>;</li><li>Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>;</li><li>В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Анализ и настройка безопасности</strong> и нажмите на кнопку <strong>Добавить</strong>;</li><li>В диалоге <strong>Добавление или удаление оснасток</strong> нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Подобно оснастке <strong>Шаблоны безопасности</strong>, после первого запуска оснастки вам нужно создать базу данных, которая будет использоваться для анализа и развертывания набора политики безопасности. Оснастка <strong>Анализ и настройка безопасности</strong> отображена на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100323053058/seced2-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100323053058/seced2-01_mini_oszone.jpg alt=* width=480 height=328/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Оснастка Анализ и настройка безопасности</strong></p><h2>Создание базы данных и импорт шаблонов безопасности</h2><p>Для начала работы с оснасткой <strong>Анализ и настройка безопасности</strong> вам нужно создать базу данных, содержащую набор параметров безопасности. Выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Анализ и настройка безопасности</strong>;</li><li>В дереве консоли щелкните правой кнопкой мыши на узле <strong>Анализ и настройка безопасности</strong> и в <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстном меню</a> выберите команду <strong>Открыть базу данных</strong>;</li><li>В диалоговом окне <strong>Открыть базу данных</strong> введите название новой базы данных и нажмите на кнопку <strong>Открыть</strong>. По умолчанию вы можете создать базу данных в папке %USERPROFILE%\Documents\Security\Database;</li><li>На следующем шаге вам нужно импортировать созданные ранее шаблоны безопасности. Автоматически открывается папка, которая установлена как путь для поиска шаблонов по умолчанию. Выберите нужный шаблон и нажмите на кнопку <strong>Открыть</strong>.</li></ol><p>Нужно обратить внимание на то, что при одновременном выборе нескольких шаблонов безопасности, дополнительные параметры нового шаблона дополняют и заменяют значения ранее импортированных. Если база данных очищена, то при импорте нового шаблона в ней будут располагаться только настройки параметров безопасности последнего импортированного шаблона. Для импорта нового шаблона нажмите правой кнопкой мыши на узле <strong>Анализ и настройка безопасности</strong> и из контекстного меню выберите команду <strong>Импорт шаблона</strong>. А для очистки базы в диалоговом окне <strong>Импорт шаблона</strong> установите флажок на опции <strong>Очистить эту базу данных перед импортом</strong>.</p><h2>Анализ и настройка компьютера</h2><p>Сразу после импорта необходимых шаблонов вам нужно проанализировать компьютер для последующего анализа и развертывания политик безопасности. Для настройки компьютера выполните следующие действия:</p><ol><li>В дереве консоли нажмите правой кнопкой мыши на узле <strong>Анализ и настройка безопасности</strong> и в контекстном меню выберите команду <strong>Анализ компьютера</strong>;</li><li>В диалоговом окне <strong>Анализ</strong> укажите путь к журналу ошибок, которые будут генерироваться при применении параметров безопасности.</li></ol><p><img src=http://oszone.net/figs/u/72715/100323053058/seced2-02.jpg alt=* width=382 height=165/></p><p><strong>Рис. 2. Диалог настройки файла журнала ошибок</strong></p><p>После выполнения анализа параметров безопасности в оснастке <strong>Анализ и настройка безопасности</strong> вы увидите сгенерированный отчет, в котором будет отображен каждый параметр политики, определяемый в базе данных. Во время анализа сравнивается ваша текущая конфигурация компьютера с настройками, указанными в шаблоне безопасности. Так как данная статья является логическим продолжением статьи, посвященной работе шаблонов безопасности, предусматривается то, что вы отконфигурировали службы планшетного ПК, BlueTooth, службу планировщика Windows Media Center и прочее. На следующей иллюстрации вы можете увидеть подобный отчет:</p><p><a href=http://oszone.net/figs/u/72715/100323053058/seced2-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100323053058/seced2-03_mini_oszone.jpg alt=* width=480 height=341/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Сгенерированный отчет оснастки Анализ и настройка безопасности</strong></p><p>Проанализированные параметры отображаются с определенными пометками на значке каждой политики. Существуют следующие категории пометок:</p><ul><li><strong>Нет пометки</strong>. Данная пометка указывает, что политика безопасности не была определена в файле шаблона безопасности и данный параметр не подлежит анализу и последующей настройке;</li><li><strong>Белая галочка в зеленом кружке</strong>. Эта пометка означает полное совпадение параметра политики на компьютере и в базе данных;</li><li><strong>Белый крестик в красном кружке</strong>. Эта пометка предупреждает, что значение указанной политики компьютера не совпадает со значением, которое определено в базе данных;</li><li><strong>Белый восклицательный знак в красном кружке</strong>. Текущая пометка указывает, что определена политика в базе данных, но на целевом компьютере параметр не существует;</li><li><strong>Знак вопроса в кружке</strong>. Данная пометка может отображаться в том случае, если у вас нет прав доступа к политике на данном компьютере или если политика не определена в базе данных и не проанализирована.</li></ul><p>Как видно на предыдущей иллюстрации, один из параметров имеет пометку, указывающую на то, что параметры не совпадают. В этом случае вы можете внести изменения в конфигурацию компьютера и базы данных. Для этого щелкните дважды данный параметр для открытия диалога свойств параметра:</p><p><img src=http://oszone.net/figs/u/72715/100323053058/seced2-04.jpg alt=* width=414 height=520/></p><p><strong>Рис. 4. Диалоговое окно свойств параметра, значение которого не соответствует базе данных</strong></p><p>В нашем примере значение параметра не соответствующего базе данных - это тип запуска службы планировщика Windows Media Center. В текстовом поле <strong>Режим запуска службы</strong> вы видите установленный на вашем компьютере тип запуска службы, а немного ниже отображается режим запуска службы, указанный шаблоном безопасности.</p><p>Также из оснастки вы можете просмотреть файл журнала базы данных. Для этого в дереве консоли выберите узел <strong>Анализ и настройка безопасности</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Показать файл журнала</strong>. В этом журнале отображен полный анализ политик безопасности в текстовом формате. Эту же информацию вы можете обнаружить в созданном ранее файле журнала ошибок. Для возврата в предыдущий режим отображения параметров безопасности, повторно вызовите контекстное меню узла <strong>Анализ и настройка безопасности</strong> и снимите флажок с команды <strong>Показать файл журнала</strong>. Во время анализа изменяются только значения параметров безопасности в базе данных. Для того чтобы изменения, указанные в шаблоне безопасности вступили в силу, необходимо их применить.</p><p><a href=http://oszone.net/figs/u/72715/100323053058/seced2-05.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100323053058/seced2-05_mini_oszone.jpg alt=* width=480 height=341/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Режим отображения файла журнала.</strong></p><p>По окончанию анализа параметров безопасности вам нужно настроить компьютер для соответствия параметров с настройками шаблона безопасности. Для того чтобы применить проанализированные настройки к вашему компьютеру, в контекстном меню узла <strong>Анализ и настройка безопасности</strong> выберите команду <strong>Настроить компьютер</strong> и в диалоговом окне <strong>Настройка системы</strong> укажите путь к журналу ошибок. По нажатию на кнопку <strong>ОК</strong> оснастка <strong>Анализ и настройка безопасности</strong> применит все настройки, указанные в шаблоне безопасности.</p><p><img src=http://oszone.net/figs/u/72715/100323053058/seced2-06.jpg alt=* width=405 height=243/></p><p><strong>Рис. 6. Процесс настройки безопасности компьютера</strong></p><p>По окончании настройки компьютера желательно повторно проанализировать параметры безопасности. На следующей иллюстрации видно, что после повторного анализа тип запуска службы планировщика Windows Media Center изменился.</p><p><img src=http://oszone.net/figs/u/72715/100323053058/seced2-07.jpg alt=* width=454 height=46/></p><p><strong>Рис. 7. Результат повторного анализа параметров безопасности</strong></p><p>При помощи оснастки <strong>Анализ и настройка безопасности</strong> вы также можете вносить изменения в файл шаблона безопасности. Выберите любой параметр безопасности, значения которого не определены в базе данных. Например, откройте диалоговое окно свойств политики <strong>Аудит событий входа в систему</strong>. В данном диалоговом окне установите флажок на опции <strong>Определить следующую политику в базе данных</strong> и выберите значение параметра для политики, например, <strong>Отказ</strong>.</p><p>После внесения изменений вы можете экспортировать все внесенные изменения в файл шаблонов безопасности. Экспортированный файл будет содержать параметры базы данных, импортированные из одного или нескольких шаблонов безопасности и модифицируемые параметры безопасности анализируемого компьютера. Для этого выполните следующее действия:</p><ol><li>Нажмите правой кнопкой мыши на узле <strong>Анализ и настройка безопасности</strong> и в контекстном меню выберите команду <strong>Экспорт шаблона</strong>;</li><li>В диалоговом окне <strong>Экспорт шаблона в</strong> выберите папку, в которую будет экспортирован ваш шаблон, введите имя файла и нажмите на кнопку <strong>Сохранить</strong>;</li></ol><h2>Заключение</h2><p>В данной статье рассказывается об использовании оснастки <strong>Анализ настройки и безопасности</strong> при условии, что ранее был создан шаблон безопасности. Вы узнали о том, как можно открыть данную оснастку, импортировать один или несколько шаблонов безопасности, сравнивать текущие параметры компьютера с параметрами шаблонов безопасности, которые указаны в базе данных текущей оснастки, а также о настройке компьютера, согласно указанному шаблону. В случае изменения шаблона безопасности, непосредственно из оснастки <strong>Анализ настройки и безопасности</strong> вы сможете экспортировать все изменения в существующий шаблон безопасности или создать новый. В следующей статье об использовании шаблонов безопасности вы узнаете о втором способе развертывания политик при помощи утилиты командной строки <strong>Secedit.exe</strong>.</p> http://www.microsoft.com/rus/business/smb/blog/59/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущих статьях, посвященных локальным политикам безопасности, вы узнали о принципах работы политик учетных записей и политик аудита. Владея приобретенными знаниями, вы можете значительно обезопасить учетные данные ваших пользователей и отслеживать попытки несанкционированного доступа. Стоит учесть, что пользователи не владеют достаточной базой знаний по обеспечению безопасности и даже у обычного пользователя может быть достаточно привилегий для нанесения ущерба своей системе и даже компьютерам в вашей интрасети. Избежать подобных проблем помогают локальные политики безопасности назначения прав пользователя, о чем, собственно, и пойдет речь в данной статье. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Оперируя данными политиками, вы можете не волноваться за то, что пользователи будут выполнять действия, которые им делать не положено. Для назначения прав доступны 44 политики безопасности, о применении которых далее пойдет речь.</p><h2>Политики назначения прав пользователей</h2><br><p>Как говорилось выше, для назначения прав пользователей существует 44 политики безопасности. Далее вы сможете ознакомиться с восемнадцатью политиками безопасности, которые отвечают за назначение различных прав для пользователей или групп вашей организации.</p><ol><li><strong>Архивация файлов и каталогов</strong>. При помощи данной политики вы можете указать пользователей или группы, предназначенные для выполнения операций резервного копирования файлов, каталогов, разделов реестра и других объектов, которые подлежат архивации. Данная политика предоставляет доступ для следующих разрешений:</li><ul><li>Обзор папок/Выполнение файлов</li><li>Содержимое папки/Чтение данных</li><li>Чтение атрибутов</li><li>Чтение расширенных атрибутов</li><li>Чтение разрешений</li></ul><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Операторы архивации</strong>, а на контроллерах домена - <strong>Операторы архивации</strong> и <strong>Операторы сервера</strong>.</p><li><strong>Блокировка страниц в памяти</strong>. Используя эту политику безопасности, вы можете указать конкретных пользователей или группы, которым разрешается использовать процессы для сохранения данных в физической памяти для предотвращения сброса данных в виртуальную память на диске.</li><p>По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.</p><li><strong>Восстановление файлов и каталогов</strong>. Эта политика позволяет вам указывать пользователей и группы, которые могут выполнять восстановление файлов и каталогов, в обход блокировке файлов, каталогов, разделов реестра и прочих объектов, расположенных в архивных версиях файлов.</li><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Операторы архивации</strong>, а на контроллерах домена - <strong>Операторы архивации</strong> и <strong>Операторы сервера</strong>.</p><li><strong>Вход в качестве пакетного задания</strong>. При создании задания, используя планировщик заданий, операционная система регистрирует пользователя в системе как пользователя с пакетным входом. Данная политика разрешает группе или определенному пользователю входить в систему при помощи такого метода.</li><p>По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Операторы архивации</strong>.</p><li><strong>Вход в качестве службы</strong>. Некоторые системные службы осуществляют вход в операционную систему под разными учетными записями. Например, служба <strong>Windows Audio</strong> запускается под учетной записью <strong>Локальная служба</strong>, служба <strong>Телефония</strong> использует учетную запись <strong>Сетевая служба</strong>. Данная политика безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.</li><p>По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.</p><li><strong>Выполнение задач по обслуживанию томов</strong>. Используя эту политику, вы можете указать пользователей или группы, участники которых могут выполнять операции, предназначенные для обслуживания томов. У пользователей, обладающих такими привилегиями, есть права на чтение и изменение запрошенных данных после открытия дополнительных файлов, они также могут просматривать диски и добавлять файлы в память, занятую другими данными.</li><p>По умолчанию, такими правами обладают только администраторы рабочих станций и контроллеров домена.</p><li><strong>Добавление рабочих станций к домену</strong>. Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory. Пользователь, обладающий данными привилегиями, может добавить в домен до десяти компьютеров.</li><p>По умолчанию, все пользователи, прошедшие проверку подлинности, на контроллерах домена могут добавлять до десяти компьютеров.</p><li><strong>Доступ к диспетчеру учетных данных от имени доверенного вызывающего</strong>. Диспетчер учетных данных - это компонент, который предназначен для хранения учетных данных, таких как имена пользователей и пароли, используемых для входа на веб-сайты или другие компьютеры в сети. Эта политика используется диспетчером учетных данных в ходе архивации и восстановления, и ее не желательно предоставлять пользователям.</li><p>По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.</p><li><strong>Доступ к компьютеру из сети</strong>. Данная политика безопасности отвечает за разрешение подключения к компьютеру по сети указанным пользователям или группам.</li><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Операторы архивации</strong>, <strong>Пользователи</strong> и <strong>Все</strong>. На контроллерах домена - <strong>Администраторы</strong>, <strong>Проверенные пользователи</strong>, <strong>Контроллеры домена предприятия</strong> и <strong>Все</strong>.</p><li><strong>Завершение работы системы</strong>. Используя этот параметр политики, вы можете составить список пользователей, которые имеют право на использование команды <strong>Завершение работы</strong> после удачного входа в систему.</li><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong>, <strong>Операторы архивации</strong> и <strong>Пользователи</strong> (только на рабочих станциях), а на контроллерах домена - <strong>Администраторы</strong>, <strong>Операторы архивации</strong>, <strong>Операторы сервера</strong> и <strong>Операторы печати</strong>.</p><li><strong><a href=http://www.outsidethebox.ms/11427/ target=_blank title=Бесплатная книга об ускорении загрузки Windows (PDF)>Загрузка</a> и выгрузка драйверов устройств</strong>. При помощи текущей политики вы можете указать пользователей, которым будут предоставлены права на динамическую загрузку и выгрузку драйверов устройств в режиме ядра, причем эта политика не распространяется на PnP-устройства.</li><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong>, а на контроллерах домена - <strong>Администраторы</strong> и <strong>Операторы печати</strong>.</p><li><strong>Замена маркера уровня процесса</strong>. Используя данную политику безопасности, вы можете ограничить пользователей или группу от использования API-функции CreateProcessAsUser для того, чтобы одна служба могла запускать другую функцию, процесс или службу. Стоит обратить внимание на то, что такое приложение как <strong>Планировщик заданий</strong> для своей работы использует данные привилегии.</li><p>По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются учетным записям <strong>Сетевая служба</strong> и <strong>Локальная служба</strong>.</p><li><strong>Запретить вход в систему через службу удаленных рабочих столов</strong>. При помощи данной политики безопасности вы можете ограничить пользователей или группы от входа в систему в качестве клиента удаленных рабочих столов.</li><p>По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удаленных рабочих столов.</p><li><strong>Запретить локальный вход</strong>. Данная политика запрещает отдельным пользователям или группам выполнять вход в систему.</li><p>По умолчанию всем пользователям разрешен вход в систему.</p><li><strong>Изменение метки объектов</strong>. Благодаря данной политике назначения прав, вы можете предоставить <a>возможность</a> указанным пользователям или группам изменять метки целостности объектов других пользователей, таких как файлы, разделы реестра или процессы.</li><p>По умолчанию никому не разрешено изменять метки объектов.</p><li><strong>Изменение параметров среды изготовителя</strong>. Используя эту политику безопасности, вы можете указать пользователей или группы, которым будет доступна возможность чтения переменных аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86.</li><p>На рабочих станциях и контроллерах домена, по умолчанию данные привилегии предоставляются группам <strong>Администраторы</strong>.</p><li><strong>Изменение системного времени</strong>. Эта политика отвечает за изменение системного времени. Предоставив данное право пользователям или группам, вы тем самым кроме разрешения изменения даты и времени внутренних часов позволите им изменять соответствующее время отслеживаемых событий в оснастке <strong>Просмотр событий</strong>.</li><p>На рабочих станциях и серверах данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Локальная служба</strong>, а на контроллерах домена - <strong>Администраторы</strong>, <strong>Операторы сервера</strong> и <strong>Локальная служба</strong>.</p><li><strong>Изменение часового пояса</strong>. При помощи текущей политики безопасности, вы можете указать пользователей или группы, которым разрешено изменять часовой пояс своего компьютера для отображения местного <a>времени</a>, которое представляет собой сумму системного времени компьютера и смещения часового пояса.</li><p>На рабочих станциях и контроллерах домена по умолчанию данные привилегии предоставляются группам <strong>Администраторы</strong> и <strong>Пользователи</strong>.</p></ol><h2>Применение политик назначение прав пользователей</h2><br><p>В этом примере я расскажу, как можно назначить права для одной из групп вашей организации на контроллере домена. Выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong> и выберите контейнер, к которому будут привязаны политики назначения прав пользователей, например, <strong>Группы</strong>;</li><li>Нажмите правой кнопкой мыши на контейнере и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать объект групповой политики в этом домене и связать его.</strong>. В диалоговом окне <strong>Новый объект групповой политики</strong> введите <strong>Права для группы отладчиков</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Выделите созданный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>, как показано на иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100418064353/secpol4-01.JPG alt=* width=412 height=338/></p><p><strong>Рис. 1. Изменение созданного объекта групповой политики</strong></p><li>В окне <strong>Редактор управления групповыми политиками</strong>, в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/100418064353/secpol4-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100418064353/secpol4-02_mini_oszone.JPG alt=* width=480 height=268/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Окно Редактор управления групповыми политиками</strong></p><li>Откройте свойства политики <strong>Отладка программ</strong>. При помощи этой политики, пользователи смогут выполнять отладку системных компонентов, что обеспечивает полный доступ к компонентам операционной системы. На <a>вкладке</a> <strong>Параметр политики безопасности</strong> установите флажок на опции <strong>Определить следующие параметры политики</strong> и нажмите на кнопку <strong>Добавить пользователя или группу</strong>, как показано ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100418064353/secpol4-03.jpg alt=* width=421 height=500/></p><p><strong>Рис. 3. Изменение параметров политики Отладка программ</strong></p><li>В диалоговом окне <strong>Добавление пользователя или группы</strong> нажмите на кнопку <strong>Обзор</strong>. В поле <strong>Введите имя выбираемых объектов</strong> укажите название группы (в данном случае - <strong>Отладчики</strong>) и нажмите на кнопку <strong>Проверить имена</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100418064353/secpol4-04.jpg alt=* width=480 height=247/></p><p><strong>Рис. 4. Выбор группы, на которую будет распространяться данная политика</strong></p><p>Если вы не помните название группы, нажмите на кнопку Дополнительно и выполните поиск при помощи поисковых запросов;</p><li>Нажмите два раза на кнопку <strong>ОК</strong>;</li><li>Закройте редактор управления групповыми политиками. В оснастке <strong>Управление групповыми политиками</strong> на вкладке <strong>Область</strong> в фильтрах безопасности удалите группу <strong>Прошедшие проверку</strong>. Затем нажмите на кнопку <strong>Добавить</strong> и выберите группу <strong>Отладчики</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/100418064353/secpol4-05.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100418064353/secpol4-05_mini_oszone.JPG alt=* width=480 height=336/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Изменение области действия групповой политики</strong></p><li>На компьютерах пользователей, которые входят в группу <strong>Отладчики</strong> инициируйте обновление групповых политик при помощи команды Gpupdate.</li></ol><h2>Заключение</h2><br><p>В данной статье мы продолжили изучение политик безопасности, а именно, узнали о политиках назначения прав пользователей. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Подробно описаны 18 из 44 политик безопасности. На приведенном в статье примере вы также узнали о том, как можно применить данные политики в организации. В следующей статье вы узнаете политиках, управляющих журналами событий.</p> http://www.microsoft.com/rus/business/smb/blog/58/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущей статье данного цикла вы узнали об очередном компоненте оснастки <strong>Управление групповой политикой</strong> - моделировании групповых политик. Этот компонент будет весьма полезным для вас в том случае, если вы перемещаете компьютер или пользователя между подразделениями, доменами или сайтами и хотите узнать, под область действия каких объектов групповых политик попадет перемещаемый компьютер или пользователь. В этой статье вы узнаете о компоненте брате-близнеце моделирования групповых политик, а именно о результирующей групповой политике. В вашей организации при наилучшем раскладе могут быть применены десятки объектов групповых политик, а если учесть все фильтры, наследования, а также исключения групповых политик, в конце концов, вам будет сложно определить, какие параметры будут применяться к пользователям, находящимся в разных отделах или филиалах предприятия. Если говорить по-простому, то операционная система Windows Server собирает групповые политики, обрабатывает все данные и сохраняет всю информацию в базе данных CIMOM через инструментарий управления Windows (WMI), непосредственно на локальном компьютере (обычно на контроллере домена). Вся эта информация включает в себя список, контент и журналируемую информацию для каждого объекта групповой политики, а также определяет, какие параметры политики были применены к пользователям и компьютерам вашей организации. При входе компьютера в сеть в базу данных CIMOM записываются такие сведения, как оборудование компьютера, параметры компонента Программы и компоненты оснастки Редактор управления групповой политикой, параметры компонента Свойства обозревателя, сценарии, параметры компонента Перенаправление папки, а также параметры безопасности. Такая функция и называется <strong>результирующей групповой политикой</strong> (Resultant Set of Policy - RSoP).</p><p>Результирующая политика представляет собой результат применения объектов групповых политик к пользователю или компьютеру с учетом всех связей GPO, исключений, а также фильтров безопасности и WMI. RSoP предоставляет сведения обо всех параметрах политики, которые задаются администратором, включая административные шаблоны, перенаправление папки, настройку веб-браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a>, параметры безопасности, сценарии и установку программ. Помимо этого, результирующие политики позволяют определить набор примененных политик и их приоритеты. По сути, результирующая политика работает в двух режимах - режиме планирования и режиме журналирования (также этот режим называется режимом входа). К режиму планирования относится метод моделирования результатов групповой политики, который применяется к пользователю или компьютеру на основе конкретных переменных, который был подробно описан в <a href=http://oszone.net/12759/gpmc5>предыдущей статье</a>. Режим журналирования предоставляет информацию о результатах параметров групповых политик, которые уже применяются к существующим пользователям или компьютерам. Результирующая политика запрашивает локальный или удаленный компьютер и извлекает точные параметры, которые применяются к компьютеру или пользователю, успешно вошедшему в свой компьютер. В сформированном отчете результирующей политики отображаются даже приложения, доступные для данного пользователя или компьютера, а также любые изменения в конфигурации программ, которые были объявлены или применены, что значительно упрощает планирование сценариев и применение такой функции, как AppLocker. В этой статье вы узнаете именно о принципах работы RSoP.</p><h2>Создание отчетов RSoP</h2><br><p>Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:</p><ul><li><strong>Оснастка Результирующая политика</strong>. Данная оснастка применяется для создания подробных отчетов о применяемых параметрах политики в двух режимах: режим журналирования и режим планирования, с понятиями которых вы уже ознакомились выше. Именно об этой оснастке и пойдет речь в последующих разделах данной статьи;</li><li><strong>Мастер результатов групповой политики</strong>. Компонент оснастки Управление групповой политикой, предназначен для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины их применения. О данной оснастке вы также узнаете из данной статьи;</li><li><strong>Утилита командной строки Gpresult</strong>. Утилита командной строки, которая предназначена для получения таких подробных сведений, как данные, предоставляемые в режиме входа RSoP, запросто экспортируемых в текстовый файл для дальнейшего анализа. О применении текущей утилиты вы узнаете в конце текущей статьи.</li></ul><h2>Использование оснастки Результирующая политика</h2><br><p>Преимущество использования оснастки <strong>Результирующая политика</strong> заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.</p><h3>Открытие оснастки Результирующая политика</h3><p>Открыть оснастку <strong>Результирующая политика</strong> вы можете одним из следующих способов:</p><ul><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>. Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>. В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Результирующая политика</strong> и нажмите на кнопку <strong>Добавить</strong>, а затем нажмите на кнопку <strong>ОК</strong>;</li><li>Воспользуйтесь комбинацией клавиш <img src=http://oszone.net/figs/u/72715/100615060735/winkey.png alt=* width=20 height=19/>+R для открытия диалога <strong>Выполнить</strong>. В диалоговом окне <strong>Выполнить</strong>, в поле <strong>Открыть</strong> введите <em>rsop.msc</em> и нажмите на кнопку <strong>ОК</strong>. Вместе с этой командой вы можете использовать такие параметры, как <strong>/RsopNamespace</strong> для указания пространства имен и <strong>/RsopTargetComp</strong>, предназначенной для указания конечного компьютера.</li></ul><p>Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне <strong>Выполнить</strong>. На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:</p><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-01.jpg alt=* width=480 height=371/></p><p><strong>Рис. 1. Диалоговое окно Обработка результирующей политики (RSoP)</strong></p><h2>Генерирование отчета журналирования RSoP</h2><br /> <p>В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:</p><ol><li>Откройте мастер результирующей политики из открытой оснастки <strong>Результирующая политика</strong>. Для этого выполните одно из следующих действий:</li><ul><li>В дереве консоли нажмите правой кнопкой мыши на узле <strong>Результирующая политика</strong> и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать данные RSoP</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/100615060735/rsop-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100615060735/rsop-02_mini_oszone.JPG alt=* width=480 height=315/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Открытие мастера результирующей политики</strong></p><li>Если у вас отображается панель действий, то перейдите на ней по ссылке <strong>Дополнительные действия</strong>, а затем выберите команду <strong>Создать данные RSoP</strong>;</li><li>В меню <strong>Действие</strong> выберите команду <strong>Создать данные RSoP</strong>.</li></ul><li>На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Выбор режима</strong> вам предлагают выбрать, для какого режима вы будете генерировать отчет RSoP. Так как в данном примере мы генерируем режим журналирования (или, иначе говоря, входа), установите переключатель на опцию <strong>Режим входа</strong> и нажмите на кнопку <strong>Далее</strong>. Необходимо обратить внимание на то, что если ваш компьютер не входит в состав домена Active Directory, у вас не получится установить переключатель на опцию <strong>Режим планирования</strong>, то есть воспользоваться функционалом моделирования групповой политики;</li><br/><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-03.jpg alt=* width=480 height=430/></p><p><strong>Рис. 3. Страница Выбор режима мастера результирующей политики</strong></p><li>На следующем шаге, странице <strong>Выбор компьютера</strong> вам нужно будет выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Вы можете указать локальный компьютер или можете выбрать любой компьютер вашей сети, воспользовавшись стандартным диалоговым окном <strong>Выбор компьютера</strong>, вызываемым нажатием на кнопку <strong>Обзор</strong>. Если вы не хотите, чтобы в отчете отображались параметры политик компьютера, установите на данной странице флажок <strong>Не отображать параметры политики для выбранного компьютера</strong>. После того как будут внесены все необходимые данные, нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-04.jpg alt=* width=480 height=430/></p><p><strong>Рис. 4. Страница Выбор компьютера мастера результирующей политики</strong></p><li>На странице <strong>Выбор пользователя</strong> выберите пользователя, для которого генерируется данный отчет. Вы можете выбрать текущего пользователя, под которым вы вошли в систему на данный момент или выбрать любого существующего пользователя из предоставленного списка, установив переключатель на опцию <strong>Другого пользователя</strong> и выбрать учетную запись из предоставленного системой списка. Также как и на предыдущей странице, вы можете отказаться от отображения параметров политики пользователя на данном шаге. Для этого просто установите переключатель на соответствующую опцию. После того как вы выберите пользователя нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-05.jpg alt=* width=480 height=430/></p><p><strong>Рис. 5. Страница Выбор пользователя мастера результирующей политики</strong></p><li>На предпоследнем шаге - странице <strong>Сводка выбранных параметров</strong> вы можете просмотреть все настройки генерируемого отчета результирующей политики и при необходимости нажать на кнопку <strong>Назад</strong>, чтобы изменить несоответствующие параметры. Флажок <strong>Сбор расширенных сведений об ошибке</strong> данной страницы предназначен для отображения всех событий в журнале приложения на указанном ранее компьютере. Данный параметр имеет особую ценность, так как он позволяет получить сведения об ошибках на клиентских компьютерах, где вероятность возникновения ошибок больше. Недостатком применения данного параметра является то, что скорость обработки отчета в это время значительно снижается;</li><br/><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-06.jpg alt=* width=480 height=430/></p><p><strong>Рис. 6. Сводка указанных ранее параметров результирующей политики</strong></p><li>Страница <strong>Завершение мастера результирующей политики</strong> свидетельствует о завершении генерирования RSoP отчета. Нажмите на кнопку <strong>Готово</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-07.jpg alt=* width=480 height=430/></p><p><strong>Рис. 7. Завершающая страница мастера результирующей политики</strong></p></ol><p>В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.</p><h2>Анализ отчета и выполнение дополнительных действий</h2><br /> <p>После того как отчет будет сгенерирован, вы увидите, что в оснастке <strong>Результирующая политика</strong> будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах <strong>Конфигурация компьютера</strong> и <strong>Конфигурация пользователя</strong> отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду <em>rsop.msc</em> без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.</p><p>В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле <strong>Конфигурация Windows</strong> вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке <strong>Редактирование групповых политик</strong> на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая <a>вкладка</a> под названием <strong>Приоритет</strong>, в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец <strong>Имя объекта групповой политики</strong>, в котором указывается название объекта групповой политики.</p><p><a href=http://oszone.net/figs/u/72715/100615060735/rsop-08.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100615060735/rsop-08_mini_oszone.jpg alt=* width=480 height=313/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Административные шаблоны результирующей политики</strong></p><p>Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.</p><p>При необходимости вы можете изменить набор параметров, отвечающих за содержимое вашего отчета RSoP. Для этого вам нужно в дереве консоли нажать правой кнопкой мыши на узле <strong>%Имя_пользователя% на %имя_компьютера% - результирующая политика</strong> и из контекстного меню выбрать команду <strong>Изменить запрос</strong>. При выборе данной команды откроется мастер создания результирующей политики на странице <strong>Выбор компьютера</strong>. Далее вам нужно выполнить действия, указанные в предыдущем разделе, начиная с пункта 4.</p><p>Может произойти такая ситуация, когда во время анализа вам нужно будет изменить один или несколько объектов групповой политики, которые распространяются на компьютер или пользователя, для которого проводится анализ результирующей групповой политики. В этом случае вам необходимо обновить политику RSoP на том компьютере, на котором в данный момент запущен отчет результирующей политики режима журналирования. Для того чтобы обновить отчет, нажмите правой кнопкой мыши на узле <strong>%Имя_пользователя% на %имя_компьютера% - результирующая политика</strong> и из контекстного меню выберите команду <strong>Обновление запросов</strong>. Откроется диалоговое окно <strong>Обработка результирующей политики RSoP</strong> и через несколько минут ваш отчет будет обновлен.</p><p><img src=http://oszone.net/figs/u/72715/100615060735/rsop-09.jpg alt=* width=341 height=256/></p><p><strong>Рис. 9. Обновление запросов результирующей политики</strong></p><p>Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:</p><ol><li>В меню <strong>Вид</strong> выберите команду <strong>Архивировать данные в файле консоли</strong>;</li><li>Перейдите в меню <strong>Файл</strong> и выберите команду <strong>Сохранить</strong>;</li><li>В диалоговом окне <strong>Сохранить как</strong> задайте имя и выберите папку, где будет сохранена ваша оснастка со всеми данными и нажмите на кнопку <strong>Сохранить</strong>;</li></ol><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/57/ Microsoft for Business <h2>Введение</h2><br><p>Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки <strong>Редактор объектов групповой политики</strong>, об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности - о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.</p><p>Сам по себе шаблон безопасности - это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки <strong>Анализ и настройка безопасности</strong> или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности - это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы <strong>Блокнот</strong>. Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.</p><p>При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:</p><ul><li><strong>Политики учетных записей</strong>. Вы можете настраивать уже известные вам по статье <a href=http://oszone.net/11590/accountpolicy>Локальная политика безопасности. Часть 2: Политики учетных записей</a> политики паролей, политики блокировки учетной записи, а также политики Kerberos;</li><li><strong>Локальные политики</strong>. Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки <strong>Редактор объектов групповых политик</strong>;</li><li><strong>Журналы событий</strong>. Вы можете изменять настройки журналов <strong>Приложения</strong>, <strong>Система</strong> и <strong>Безопасность</strong>, такие как политики создания файлов журналов, максимальный размер и прочее;</li><li><strong>Группы с ограниченным доступом</strong>. Настройки ограничений доступа пользователей, которые являются членами различных групп;</li><li><strong>Настройки системных служб&gt;</strong>. Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке <strong>Службы</strong>;</li><li><strong>Настройки системного реестра</strong>. Можно добавлять разрешения на доступ к разделам реестра;</li><li><strong>Настройки безопасности файловой системы</strong>. У вас есть <a>возможность</a> задавать разрешения доступа на файлы и папки.</li></ul><p>Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.</p><h2>Использование оснастки Шаблоны безопасности</h2><br><p>Откройте оснастку <strong>Шаблоны безопасности</strong>. Для этого выполните следующие действия:</p><ol><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>;</li><li>Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>;</li><li>В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Шаблоны безопасности</strong> и нажмите на кнопку <strong>Добавить</strong>;</li><li>В диалоге <strong>Добавление или удаление оснасток</strong> нажмите на кнопку <strong>ОК</strong>.</li></ol><p>При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка Шаблоны безопасности, открытая впервые:</p><p><a href=http://oszone.net/figs/u/72715/100322065905/seced-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100322065905/seced-01_mini_oszone.jpg alt=* width=480 height=328/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Первое открытие оснастки Шаблоны безопасности</strong></p><h2>Создание нового шаблона безопасности</h2><br /> <p>Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:</p><ol><li>В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;</li><li>В появившемся <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстном меню</a> выберите команду <strong>Создать шаблон</strong>;</li><li>Введите название нового шаблона в текстовое поле <strong>Имя шаблона</strong> появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле <strong>Описание</strong>. Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием <strong>Конфигурация системных служб</strong>. В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.</li></ol><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-02.jpg alt=* width=381 height=253/></p><p><strong>Рис. 2. Диалог создания нового шаблона безопасности</strong></p><p>При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле <strong>Шаблоны безопасности</strong> и выберите команду <strong>Найти путь для поиска шаблонов</strong>. В диалоговом окне <strong>Обзор папок</strong> выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку <strong>ОК</strong>.</p><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-03.jpg alt=* width=464 height=171/></p><p><strong>Рис. 3. Изменение пути для поиска шаблонов</strong></p><h2>Изменение настроек шаблона безопасности</h2><br /> <p>После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке <strong>Редактор объектов групповых политик</strong>. Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.</p><p>На следующей иллюстрации отображен новый шаблон безопасности:</p><p><a href=http://oszone.net/figs/u/72715/100322065905/seced-04.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100322065905/seced-04_mini_oszone.jpg alt=* width=480 height=328/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Новый шаблон безопасности</strong></p><h2>Настройка системных служб</h2><br /> <p>Узел <strong>Системные службы</strong> предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку <strong>Службы</strong>, однако между ними есть одна существенная разница. При помощи оснастки <strong>Службы</strong> вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:</p><p>На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:</p><ol><li>В оснастке <strong>Шаблоны безопасности</strong> перейдите на узел <strong>Системные службы</strong>;</li><li>Выберите службу, тип запуска которой вы планируете настроить, например, <strong>Служба ввода планшетного ПК</strong> и откройте свойства этой службы;</li><li>В диалоговом окне <strong>Свойства: Служба ввода планшетного ПК</strong> установить флажок на опции <strong>Определить следующий параметр службы в шаблоне</strong> и установите переключатель на опции <strong>запретить</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-05.jpg alt=* width=414 height=378/></p><p><strong>Рис. 5. Диалог свойств системной службы</strong></p><li>Нажмите на кнопку <strong>ОК</strong>. Настройте остальные службы.</li></ol><h2>Настройка системного реестра</h2><br /> <p>После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать <a>возможность</a> вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент <strong>Дата и время</strong> только для групп <strong>Система</strong> и <strong>Администраторы</strong>, причем пользователям, которые являются членами группы <strong>Пользователи</strong> нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:</p><ol><li>В оснастке <strong>Шаблоны безопасности</strong> перейдите на узел <strong>Реестр</strong>;</li><li>Вызовите контекстное меню для узла <strong>Реестр</strong> и выберите команду <strong>Добавить раздел</strong>;</li><li>В диалоговом окне <strong>Выбор раздела реестра</strong> разверните раздел [MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] или введите путь к разделу в поле <strong>Выбранный раздел</strong> и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-06.jpg alt=* width=445 height=357/></p><p><strong>Рис. 6. Диалоговое окно Выбор раздела реестра</strong></p><li>В появившемся диалоговом окне <strong>Безопасность данных для &lt;Выбранный_раздел_реестра&gt;</strong> установите разрешения для всех групп и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-07.jpg alt=* width=377 height=460/></p><p><strong>Рис. 7. Диалог Безопасность раздела системного реестра</strong></p><li>В диалоге <strong>Добавление объекта</strong> вы можете распространить указанные настройки безопасности на все дочерние подразделы, запретить замену разрешений в указанном разделе, или изменить параметры вручную.</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-08.jpg alt=* width=394 height=335/></p><p><strong>Рис. 8. Диалог Добавление объекта</strong></p><li>По нажатию на кнопку <strong>ОК</strong>, данные изменения будут отображены в оснастке <strong>Шаблоны безопасности</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://oszone.net/figs/u/72715/100322065905/seced-09.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100322065905/seced-09_mini_oszone.jpg alt=* width=480 height=341/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Узел Реестр</strong></p></ol><h2>Настройка групп с ограниченным доступом</h2><br /> <p>При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:</p><ol><li>В оснастке <strong>Шаблоны безопасности</strong> перейдите на узел <strong>Группы с ограниченным доступом</strong>;</li><li>Нажмите правой кнопкой мыши на узле и из контекстного меню выберите команду <strong>Добавить группу</strong>;</li><li>В диалоговом окне <strong>Добавление группы</strong> введите название новой группы или выберите существующую, используя кнопку <strong>Обзор</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-10.jpg alt=* width=382 height=165/></p><p><strong>Рис. 10. Диалог добавления группы</strong></p><li>В диалоговом окне свойств новой группы вы можете добавить пользователей, которые будут входить в состав этой группы, а также выбрать родительскую группу. Причем, политики не применяются на те группы, к которым принадлежит созданная вами группа;</li><br/><p><img src=http://oszone.net/figs/u/72715/100322065905/seced-11.jpg alt=* width=374 height=461/></p><p><strong>Рис. 11. Диалог свойств новой группы</strong></p><li>По нажатию на кнопку <strong>ОК</strong> новая группа будет создана и добавлена в узел групп с ограниченным доступом.</li></ol><p>По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду <strong>Сохранить</strong> или <strong>Сохранить как</strong> из контекстного меню. Шаблон будет сохранен с расширением <strong>*.inf</strong>.</p><h2>Заключение</h2><br><p>В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности - шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением <strong>*.inf</strong>.</p> http://www.microsoft.com/rus/business/smb/blog/56/ Microsoft for Business <h2>Введение</h2><br><p>Как я говорил ранее, в наше время стоит заботиться о безопасности пользовательских учетных записей и конфиденциальности информации вашего предприятия. Из предыдущих статей по локальным политикам безопасности вы узнали о методах использования локальных политик безопасности и о политиках учетных записей, при помощи которых вы смогли значительно повысить безопасность учетных записей пользователей. Теперь, после того как политики безопасности учетных записей у вас правильно настроены, злоумышленникам будет намного сложнее получить доступ к пользовательским учетным записям. Но не стоит забывать о том, что на этом ваша работа по обеспечению безопасности сетевой инфраструктуры не заканчивается. Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.</p><p>В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал <strong>Безопасность</strong>, куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. В этой статье мы рассмотрим именно политики аудита и последующий анализ событий в журнале <strong>Безопасность</strong>.</p><h2>Политика аудита</h2><br><p>Политика аудита настраивает в системе определенного пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками вы должны открыть узел <strong>Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита</strong>. Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих станций установлен на <strong>Не определено</strong>. В общей сложности, вы можете настраивать девять политик аудита, которые изображены на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100321172134/audit-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100321172134/audit-01_mini_oszone.jpg alt=* width=480 height=367/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Узел Политика аудита</strong></p><p>Так же, как и с остальными политиками безопасности, для настройки аудита вам нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции <strong>Определить следующие параметры политики</strong> и укажите параметры ведения аудита успеха, отказа или обоих типов событий.</p><p><img src=http://oszone.net/figs/u/72715/100321172134/audit-02.jpg alt=* width=421 height=500/></p><p><strong>Рис. 2. Свойства политики аудита Аудит доступа к службе каталогов</strong></p><p>После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности. Рассмотрим подробно каждую политику аудита:</p><p><strong>Аудит входа в систему</strong>. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.</p><p><strong>Аудит доступа к объектам</strong>. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данных списках.</p><p><strong>Аудит доступа к службе каталогов</strong>. При помощи этой политики безопасности вы можете определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне <strong>Дополнительные параметры безопасности</strong> свойств объекта Active Directory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику <strong>Аудит доступа к объектам</strong>. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.</p><p><strong>Аудит изменения политики</strong>. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.</p><p><strong>Аудит изменения привилегий</strong>. Используя эту политику безопасности, вы можете определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.</p><p><strong>Аудит отслеживания процессов</strong>. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.</p><p><strong>Аудит системных событий</strong>. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного <a>времени</a>. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.</p><p><strong>Аудит событий входа в систему</strong>. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.</p><p><strong>Аудит управления учетными записями</strong>. Эта последняя политика тоже считается очень важной, так как именно при помощи нее вы можете определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями</p><p>Как видите, все политики аудита в какой-то степени очень похожи и если вы для каждого пользователя свой организации установите аудит всех политик, то рано или поздно вы просто запутаетесь в них. Поэтому необходимо вначале определить, что именно необходимо для аудита. Например, чтобы удостовериться в том, что к одной из ваших учетных записей постоянно пытаются получить несанкционированный доступ методом подбора пароля, вы можете указать аудит неудачных попыток входа. В следующем разделе мы рассмотрим простейший пример использования данных политик.</p><h2>Пример использования политики аудита</h2><br><p>Допустим, у нас есть домен testdomain.com, в котором есть пользователь с учетной записью DImaN.<a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a>. в данном примере мы применим для этого пользователя политику <strong>Аудит событий входа в систему</strong> и увидим, какие события записываются в журнал безопасности при попытке несанкционированного доступа в систему. Для воспроизведения подобной ситуации выполните следующие действия:</p><ol><li>На контроллере домена создайте пользовательскую учетную запись и поместите ее в группу безопасности Vista, которая расположена в подразделении <strong>Группы</strong>;</li><li>Откройте консоль <strong>Управление групповой политикой</strong>, где выберите контейнер <strong>Объекты групповой политики</strong> и нажмите на этом контейнере правой кнопкой мыши для отображения <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a>;</li><li>В контекстном меню выберите команду <strong>Создать</strong> и в отобразившемся диалоговом окне <strong>Новый объект групповой политики</strong> введите <strong>Политика аудита</strong>, после чего нажмите кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100321172134/audit-03.jpg alt=* width=390 height=173/></p><p><strong>Рис. 3. Создание нового объекта групповой политики</strong></p><li>Выберите данный объект групповой политики и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В появившемся окне <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита</strong> и откройте параметр политики <strong>Аудит событий входа в систему</strong>;</li><li>Установите флажки возле опций <strong>Определить следующие параметры политики</strong> и <strong>отказ</strong>, как показано на следующей иллюстрации и нажмите на <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100321172134/audit-04.jpg alt=* width=421 height=500/></p><p><strong>Рис. 4. Изменение политики аудита</strong></p><li>Закройте редактор управления групповыми политиками;</li><li>Свяжите объект <strong>Политики аудита</strong> с подразделением <strong>Группы</strong>. Для этого щелкните правой кнопкой мыши на подразделение <strong>Группы</strong> и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100321172134/audit-05.jpg alt=* width=480 height=310/></p><p><strong>Рис. 5. Связка объекта групповой политики с подразделением</strong></p><li>В диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите объект <strong>Политика аудита</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Разверните подразделение <strong>Группы</strong> и в области <strong>Фильтры безопасности</strong> удалите фильтр <strong>Прошедшие проверку</strong>. После этого нажмите на кнопку <strong>Добавить</strong> и выберите группу <strong>Vista</strong>, которую мы создавали ранее;</li><br/><p><img src=http://oszone.net/figs/u/72715/100321172134/audit-06.jpg alt=* width=480 height=372/></p><p><strong>Рис. 6. Установка фильтра безопасности</strong></p><li>Перейдите на клиентскую <a>машину</a> и обновите групповые политики при помощи команды gpupdate;</li><li>Заблокируйте компьютер и попробуйте войти в систему, используя заведомо неправильный пароль;</li><li>На контроллере домена откройте оснастку <strong>Просмотр событий</strong> и перейдите в журнал <strong>Безопасность</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/100321172134/audit-07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100321172134/audit-07_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Просмотр журнала безопасности</strong></p><li>Как видите на предыдущей иллюстрации, сгенерировалось сообщение аудита отказа, соответственно, сгенерировался EventID 4771.</li></ol><h2>Заключение</h2><br><p>В данной статье мы продолжили изучение политик безопасности, а именно, рассмотрели параметры политик аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей. Рассмотрены все девять политик безопасности, отвечающих за ведение аудита. Также на примере вы узнали, как работают политики аудита при помощи политики <strong>Аудит событий входа в систему</strong>. Была эмулирована ситуация несанкционированного проникновения на пользовательский компьютер с последующим аудитом системного журнала безопасности.</p> http://www.microsoft.com/rus/business/smb/blog/55/ Microsoft for Business <h2>Введение</h2><br><p>Моделирование групповых политик - это компонент оснастки <strong>Управление групповой политикой</strong>, который позволяет администраторам увидеть настройки, которые будут применены определенным пользователем или компьютером, если объект находится в определенном месторасположении в Active Directory. Этот компонент будет полезным для вас в том случае, если, например, пользователь перевелся в другое подразделение или филиал организации, и вы хотите узнать, какие настройки к нему будут применяться после перемещения из одного OU в другое. Соответственно, моделирование поможет вам выполнять свои административные задачи более эффективно и позволит свести к минимуму временные затраты на исправление негативного результата применения новых политик после перемещения пользователя. В этой статье будет рассмотрен принцип использования данного компонента и мастера моделирования групповой политики, и вы на примере увидите, насколько эффективным может оказаться функционал моделирования, как в тестовой, так и в рабочей среде. Приобретенные навыки из этой статьи помогут вам экономить время, которое может быть потрачено на расследование проблем, связанных с работой операционной системы после перемещения пользователей в различные подразделения.</p><h2>Использование моделирования групповой политики</h2><br><p>Для того чтобы вы могли использовать функционал моделирования групповой политики, у вас должны быть разрешения на создание результирующих политик в домене или в том подразделении, для которого вам нужно выполнить соответствующий запрос. Также для использования данного компонента оснастки <strong>Управление групповой политикой</strong> необходимо, чтобы контроллер домена был не ниже <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a>.</p><h2>Создание сценария моделирования групповой политики</h2><br /> <p>Для выполнения сценария моделирования вам нужно воспользоваться мастером моделирования групповой политики. Открыть диалоговое окно <strong>Мастер моделирования групповой политики</strong> вы можете одним из следующих способов:</p><ul><li>Откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong> и в дереве консоли выделите подразделение, для которого вы хотите смоделировать результирующий набор политик. Нажмите правой кнопкой мыши на подразделении, для которого будете проводить моделирование и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Все задачи</strong>, а затем выберите <strong>Результирующая политика (Планирование).</strong>. Используя данный метод, мастер сразу откроется на шаге <strong>Выбор компьютера и пользователя</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-01.JPG alt=* width=480 height=343/></p><p><strong>Рис. 1. Открытие мастера моделирования групповой политики из оснастки Active Directory - пользователи и компьютеры</strong></p><li>Откройте оснастку <strong>Управление групповой политикой</strong> и в дереве консоли перейдите к узлу <strong>Моделирование групповой политики</strong>. Выделив данный узел, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Мастер моделирования групповой политики.</strong>.</li></ul><p>После того как вы откроете диалоговое окно <strong>Мастер моделирования групповой политики</strong>, для создания результирующего набора, выполните следующие действия:</p><ol><li>На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Выбор контроллера домена</strong> вам нужно выбрать контроллер домена, на который будет распространяться создаваемый набор моделирования. Устанавливать переключатель на опцию <strong>Любой доступный контроллер домена с ОС Windows Server 2003 и выше</strong> лучше в том случае, если в вашей организации развернут только один домен. Если в вашем распоряжении более одного домена, установите переключатель на опцию <strong>Указанный контроллер домена</strong> и выберите из списка нужный вам контроллер домена. После того как вы сделаете свой выбор, нажмите на кнопку <strong>Далее</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-02.jpg alt=* width=480 height=426/></p><p><strong>Рис. 2. Страница выбора контроллера домена мастера моделирования групповой политики</strong></p><li>На следующем шаге вам нужно выбрать компьютер и пользователя, для которого будет произведено моделирование групповых политик. На этом этапе вы можете выбрать информацию как для обоих типов объектов (указать пользователя и его компьютер), так и только для одного объекта. Как в группе <strong>Сведения о пользователе</strong>, так и в группе <strong>Сведения о компьютере</strong> вы можете выбрать помимо основного назначения (пользователя или компьютера) контейнер. Помимо этого, если для вашего сценария достаточно указать только пользователя или компьютер, вы можете сразу перейти к последнему шагу, установив флажок <strong>Перейти к последней странице, не собирая дополнительных данных</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-03.jpg alt=* width=480 height=426/></p><p><strong>Рис. 3. Выбор пользователя или компьютера</strong></p><li>На странице <strong>Дополнительные параметры эмуляции</strong> вы можете настроить такие параметры, как эмуляция применения политики при медленных соединениях, что удобно в случае с филиалами, а также обработку петлевого адреса. Петлевым адресом называется метод цифровых потоков данных от их источника и обратно к тому же источнику без специальной обработки или модификаций. Помимо этого вы можете указать сайт, в котором будут эмулироваться политики;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-04.jpg alt=* width=480 height=426/></p><p><strong>Рис. 4. Настройка дополнительных параметров эмуляции</strong></p><li>На следующем шаге, странице <strong>Альтернативные пути Active Directory</strong> вам нужно указать будущее расположение пользователя и компьютера в домене. Вы можете ввести путь вручную, используя синтаксис LDAP или нажать на кнопку <strong>Обзор</strong> и выбрать новое расположение из диалогового окна <strong>Выбор контейнера.</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-05.jpg alt=* width=480 height=426/></p><p><strong>Рис. 5. Настройка альтернативных путей Active Directory</strong></p><li>На следующих двух страницах - <strong>Группы безопасности пользователя</strong> и <strong>Группы безопасности компьютера</strong> укажите те группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий. При помощи кнопок <strong>Добавить</strong> и <strong>Удалить</strong> вы можете сэмулировать изменение групп безопасности, членом которых будет выступать целевой пользователь и его компьютер. На следующей иллюстрации изображена страница <strong>Группы безопасности пользователя</strong> с новой для данного пользователя группой:</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-06.jpg alt=* width=480 height=426/></p><p><strong>Рис. 6. Изменение группы безопасности пользователя для эмуляции</strong></p><li>На страницах <strong>Фильтры WMI для пользователей</strong> и <strong>Фильтры WMI для компьютеров</strong> вы можете указать фильтры, которые будут привязаны к объектам групповых политик, и применяться только к тем пользователям и компьютерам, которые будут соответствовать его критерию. Вы можете указать определенные фильтры, установив переключатель на <strong>Только следующие фильтры</strong>, нажав на кнопку <strong>Перечислить фильтры</strong> и удалить те фильтры, которые не соответствуют вашим потребностям;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-07.jpg alt=* width=480 height=427/></p><p><strong>Рис. 7. Изменение фильтров WMI для пользователя, указанного в сценарии</strong></p><li>На предпоследнем шаге - странице <strong>Сводка выбранных параметров</strong> вы можете просмотреть все настройки моделирования и при необходимости нажать на кнопку <strong>Назад</strong> и изменить несоответствующие параметры;</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-08.jpg alt=* width=480 height=426/></p><p><strong>Рис. 8. Сводка указанных ранее параметров</strong></p><li>Страница <strong>Завершение мастера моделирования групповой политики</strong> свидетельствует о завершении моделирования. Нажмите на кнопку <strong>Готово</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-09.jpg alt=* width=480 height=426/></p><p><strong>Рис. 9. Завершающая страница мастера моделирования групповой политики</strong></p></ol><h2>Анализ созданного сценария моделирования групповой политики</h2><br /> <p>После того как будет создан сценарий моделирования, в узле <strong>Моделирование групповой политики</strong> дерева консоли появится новая групповая политика. Информацию о вашем запросе политики моделирования вы можете просматривать на панели сведений оснастки <strong>Управление групповой политикой</strong> при помощи трех существующих <a>вкладок</a>, которые подробно описаны в следующих подразделах.</p><h2>Вкладка Сводка</h2><br /> <p>При помощи этой вкладки вы можете ознакомиться со сводными данными результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:</p><ul><li><strong>Общие данные</strong>, которые включают в себя имя компьютера, его расположение в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;</li><li><strong>Список групповых политик</strong>, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;</li><li><strong>Имитация членства в группе безопасности</strong> для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;</li><li><strong>Список WMI фильтров</strong>, которые связаны с групповой политикой и будут включены в конечный запрос;</li><li><strong>Состояние компьютера</strong>, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.</li></ul><p>На следующей иллюстрации вы увидите информацию, которая отображена на <a>вкладке</a> <strong>Сводка</strong> с данными по конфигурации компьютера:</p><p><a href=http://oszone.net/figs/u/72715/100610055140/gpmc5-10.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-10_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Вкладка Сводка политики моделирования</strong></p><h2>Вкладка Параметры</h2><br /> <p>На вкладке <strong>Параметры</strong> отображается отчет со всеми политиками, которые в итоге будут применены к объекту, над которым на данный момент проводится анализ. Данный отчет по своей структуре ничем не отличается от уже известных вам отчетов обычных и начальных объектов групповых политик. На следующей иллюстрации вы можете увидеть данную вкладку:</p><p><a href=http://oszone.net/figs/u/72715/100610055140/gpmc5-11.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-11_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 11. Вкладка Параметры политики моделирования</strong></p><h2>Вкладка Запрос</h2><br /> <p>На этой вкладке вы можете просмотреть параметры запроса, которые вы использовали для формирования данного отчета при помощи <strong>Мастера моделирования групповой политики</strong>. Эта вкладка содержит такие данные, как последнее время выполнения данного запроса, fqdn контроллера домена, на котором выполнялась эта эмуляция, данные о пользователе и компьютере, над которыми производится анализ, а также все остальные параметры, которые использовались при создании запроса. На следующей иллюстрации отображена данная вкладка:</p><p><a href=http://oszone.net/figs/u/72715/100610055140/gpmc5-12.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-12_mini_oszone.JPG alt=* width=480 height=290/><br/>Увеличить рисунок</a></p><p><strong>Рис. 12. Вкладка Запрос политики моделирования</strong></p><h2>Дополнительные возможности компонента моделирования групповых политик</h2><br><p>Стоит отметить, что после закрытия и повторного открытия оснастки <strong>Управление групповой политикой</strong> отчет будет недоступен. Для того чтобы снова вы смогли просмотреть созданный ранее отчет моделирования групповой политики вам нужно повторить запрос. Чтобы это сделать, вам нужно в дереве консоли найти созданную ранее политику моделирования, нажать на ней правой кнопкой мыши и из контекстного меню выбрать команду <strong>Повторить запрос</strong>, как показано ниже:</p><p><a href=http://oszone.net/figs/u/72715/100610055140/gpmc5-13.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-13_mini_oszone.JPG alt=* width=480 height=210/><br/>Увеличить рисунок</a></p><p><strong>Рис. 13. Повтор созданного ранее запроса моделирования групповой политики</strong></p><p>Если вам нужно создать запрос, который по своей структуре будет похож на запрос, который вы уже создавали ранее, вы можете из контекстного меню существующего запроса выбрать команду <strong>Создать новый запрос из существующего</strong>. Эту команды вы также можете выбрать из меню <strong>Действие</strong>. При выборе этой команды будет открыто диалоговое окно <strong>Мастер моделирования групповой политики</strong>, в котором на каждом шаге будут присутствовать данные из существующего запроса.</p><p>Для того чтобы постоянно не формировать отчеты при открытии оснастки <strong>Управление групповой политикой</strong>, вы можете сохранить существующий отчет в HTML или XML формате. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду <strong>Сохранить отчет</strong>. В открывшемся диалоговом окне <strong>Сохранение отчета объекта групповой политики</strong> выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:</p><p><a href=http://oszone.net/figs/u/72715/100610055140/gpmc5-14.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100610055140/gpmc5-14_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 14. Отчет моделирования групповой политики</strong></p><h2>Заключение</h2><br><p>В этой статье вы узнали об очередном компоненте групповой политики - моделировании групповой политики. Этот компонент позволяет администраторам увидеть настройки, которые будут применены определенным пользователем или компьютером, если объект находится в определенном месторасположении в Active Directory. В статье был рассмотрен процесс создания политики моделирования, просмотр самого отчета и работа с такими дополнительными действиями, как создание нового запроса на основании существующего, сохранение отчета и т.д. В следующей статье вы узнаете об очередном компоненте групповой политики - результирующей политике.</p> http://www.microsoft.com/rus/business/smb/blog/54/ Microsoft for Business <p>Эта статья является продолжением цикла руководств по групповым политикам операционных систем Windows. В связи с тем, что при помощи групповых политик домена можно управлять настройками всех компьютеров и пользователей, которые входят его состав, у вас может возникнуть вопрос: Возможна ли реализация настроек групповых политик для отдельных групп и пользователей моего локального компьютера?. В свою очередь, в операционной системе Windows XP локальные политики применяются ко всем группам пользователей, включая администраторов. Теперь оснастка объектов локальной групповой политики позволяет управлять настройками вашего локального компьютера, а также текущего пользователя, которые не входят в состав домена. В операционных системах Windows, начиная с Windows Vista, вы можете это сделать благодаря функционалу <strong>Множественной локальной групповой политики</strong>.</p><p>Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки <strong>Объекты локальной групповой политики</strong> по отношению ко всем операционным системам, предшествующим Windows Vista. Этот функционал представляет собой набор объектов локальной групповой политики, который обеспечивает управление для компьютеров, групп, а также пользователей, которые не состоят в домене. К набору объектов множественной локальной групповой политики можно отнести следующее:</p><p><strong>Политика локального компьютера</strong>. Эта политика также известна как <strong>Локальная групповая политика</strong> и является основным объектом для множественной групповой политики. Данная локальная групповая политика применяет параметры политики к компьютеру и всем вошедшим пользователям. Используя этот набор объектов, вы можете изменять как настройки компьютера, так и пользователя, но пользовательские настройки будут применены только к группе администраторов. По существу, этот набор объектов является идентичным тем, которые были в операционной системе Windows XP.</p><p><strong>Политика группы Администраторы и пользователей, не входящих в группу Администраторы</strong>. В любой операционной системе Windows создаются несколько групп и пользователей по умолчанию. Одной из этих групп является группа <strong>Администраторы</strong>. Группа <strong>Администраторы</strong> создается при установке или обновлении системы по умолчанию и в этой группе по умолчанию создается один пользователь - <strong>Администратор</strong>. Все пользователи, которые входят в эту группу являются администраторами компьютера. Локальная групповая политика группы <strong>Администраторы</strong> применяет параметры политики пользователя к членам этой группы.</p><p>Для всех остальных пользователей, которые не входят в группу <strong>Администраторы</strong> применяется набор объектов локальной групповой политики <strong>Не администраторы</strong>.</p><p><strong>Политика для отдельных локальных пользователей</strong>. Помимо встроенных учетных записей, администраторы систем Windows могут самостоятельно создавать учетные записи с разными правами. При помощи функционала множественной групповой политики вы можете управлять настройками для определённой учетной записи.</p><h2>Открытие оснастки Множественная локальная групповая политика</h2><br><p>Как таковой, оснастки <strong>Множественная локальная групповая политика</strong> не существует. Для того чтобы воспользоваться этим функционалом вам нужно выполнить следующие действия:</p><ol><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>;</li><li>Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>;</li><li>В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Редактор объектов групповой политики</strong> и нажмите на кнопку <strong>Добавить</strong>;</li><li>Для того чтобы выбрать нужный объект групповой политики, в появившемся диалоге <strong>Выбор объекта групповой политики</strong> нажмите на кнопку <strong>Обзор</strong>;</li><li>В диалоге <strong>Поиска объекта групповой политики</strong> перейдите на вкладку <strong>Пользователи</strong> и выберите объект, над которым будут проводиться настройки групповой политики, например <strong>Не администраторы</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_01.jpg alt=* width=480 height=354/></p><li>Нажмите на кнопку <strong>ОК</strong> в диалоге <strong>Поиск объекта групповой политики</strong>, в диалоге <strong>Выбор объекта групповой политики</strong> нажмите на кнопку <strong>Готово</strong>, а после этого нажмите на кнопку <strong>ОК</strong> диалога <strong>Добавление и удаление оснасток</strong>.</li></ol><p>Как видно на следующем скриншоте, для этого объекта вы можете настраивать только узел <strong>Конфигурация пользователя</strong>:</p><p><a href=http://oszone.net/figs/u/72715/100210101437/mlgpo_02.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_02_mini_oszone.jpg alt=* width=480 height=278/><br/>Увеличить рисунок</a></p><p>Если вы планируете и в дальнейшем проводить настройки для выбранного объекта, то вам понадобится сохранить текущую оснастку. Для этого в меню <strong>Файл</strong> выберите команду <strong>Сохранить как</strong>. В появившемся диалоге <strong>Сохранить как</strong> выберите папку, в которую должен быть сохранен файл. По умолчанию выбрана папка %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools. Если требуется сохранить файл оснастки в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку <strong>Создание новой папки</strong> на панели действий. В поле <strong>Имя файла</strong> введите имя и нажмите на кнопку <strong>Сохранить</strong>.</p><h2>Примеры использования множественной локальной групповой политики</h2><br><p>В следующих примерах вы узнаете, как используется множественная локальная групповая политика для всех четырех ее объектов.</p><h2>Политика локального компьютера</h2><br /> <p>В этом примере проиллюстрирован способ настройки объекта политики локального компьютера. Использование этого объекта ничем не отличается от действий, выполняемых при помощи оснастки <strong>Редактор локальной групповой политики</strong>. Соответственно, для этого объекта доступны оба узла групповых политик - <strong>Конфигурация компьютера</strong> и <strong>Конфигурация пользователя</strong>.</p><p>Используя политику локального компьютера, запретим всем пользователям вашего локального компьютера открывать редактор системного реестра, а также использовать командную строку. Для этого выполните следующее:</p><ol><li>Откройте объект политики локального компьютера;</li><li>Откройте узел <strong>Конфигурация пользователя\Административные шаблоны\Система</strong>;</li><li>Откройте параметр <strong>Запретить использование командной строки</strong> и выберите опцию <strong>Включить</strong> и в раскрывающемся списке параметров команду <strong>Да</strong>. При необходимости введите комментарий. Нажмите кнопку <strong>Применить</strong>, а затем кнопку <strong>Следующий параметр</strong>;</li><li>В диалоговом окне настроек параметра <strong>Запретить доступ к средствам редактирования реестра</strong> выберите опцию <strong>Включить</strong> и в раскрывающемся списке параметров команду <strong>Да</strong>.</li><li>Нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Перезагрузите компьютер для проверки параметров.</p><p><a href=http://oszone.net/figs/u/72715/100210101437/mlgpo_03.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_03_mini_oszone.JPG alt=* width=480 height=310/><br/>Увеличить рисунок</a></p><p>После перезагрузки, для того чтобы проверить результат настройки групповой политики локального компьютера, выполните следующие действия:</p><ol><li>Попробуйте открыть редактор системного реестра. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>regedit</em>, а затем нажмите на кнопку <strong>Enter</strong>. Вместо открытия приложения вы увидите следующее предупреждение:</li><br/><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_04.jpg alt=* width=436 height=131/></p><li>Попробуйте открыть командную строку. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>Командная</em>, а затем нажмите на кнопку <strong>Enter</strong>. Сразу при открытии приложения вы увидите следующее предупреждение:</li><br/><p><a href=http://oszone.net/figs/u/72715/100210101437/mlgpo_05.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_05_mini_oszone.jpg alt=* width=480 height=242/><br/>Увеличить рисунок</a></p></ol><h2>Локальная групповая политика группы Администраторы</h2><br /> <p>Из этого примера вы увидите, как действуют настройки объектов набора локальной групповой политики группы <strong>Администраторы</strong>. Этот набор объектов действует только на те учетные записи, которые являются членами группы <strong>Администраторы</strong>. В этом примере, используя локальную групповую политику группы <strong>Администраторы</strong> добавьте в меню <strong>Пуск</strong> команду <strong>Выполнить</strong> и отключите <strong>Windows Media Center</strong>. Для этого выполните следующие действия:</p><ol><li>Запустите объект локальной групповой политики группы <strong>Администраторы</strong>;</li><li>Разверните узел <strong>Конфигурация пользователя\Административные шаблоны\Меню Пуск и панель задач</strong>;</li><li>Откройте параметр <strong>Добавить команду Выполнить в меню Пуск</strong>, в открывшемся диалоговом окне выберите опцию <strong>Включить</strong>. При необходимости введите комментарий, затем нажмите на кнопку <strong>ОК</strong>;</li><li>Разверните узел <strong>Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Media Center</strong>;</li><li>Откройте параметр <strong>Не запускать Windows Media Center</strong>, в открывшемся диалоге выберите опцию <strong>Включить</strong>. При необходимости введите комментарий, затем нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Перезагрузите компьютер для проверки параметров.</p><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_06.JPG alt=* width=342 height=261/></p><p>После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики группы <strong>Администраторы</strong>, войдите в систему под учетной записью, которая состоит в группе <strong>Администраторы</strong>. Нажмите на кнопку <strong>Пуск</strong> для открытия меню. Как показано на следующем скриншоте, в меню появилась команда <strong>Выполнить</strong>, причем, эта ссылка есть в меню <strong>Пуск</strong>, независимо от того, установлен ли в диалоговом окне <strong>Настройка меню Пуск</strong> флажок на опции <strong>Команда Выполнить</strong> или нет.</p><p><a href=http://oszone.net/figs/u/72715/100210101437/mlgpo_07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_07_mini_oszone.jpg alt=* width=480 height=285/><br/>Увеличить рисунок</a></p><h2>Локальная групповая политика пользователей, не входящих в группу администраторов</h2><br /> <p>Из этого примера вы узнаете, как можно настроить групповые политики для пользователей, которые не входят в группу <strong>Администраторы</strong>. Для того чтобы выполнить действия, которые описаны в следующей процедуре, у вас должна быть учетная запись обычного пользователя. Способы создания учетных записей пользователей были расписаны в статье <a href=http://www.oszone.net/10596/user_account1>Работа с учетными записями пользователей в Windows 7 - подробное руководство (Часть 1)</a>. В этом примере, используя локальную групповую политику для пользователей, которые не входят в группу администраторы, отключим в браузере Internet Explorer вкладки <strong>Дополнительно</strong>, <strong>Безопасности</strong>, <strong>Программы</strong> и <strong>Подключение</strong>, а также включим ClearType и анимацию для веб-страниц. Для этого выполните следующие действия:</p><ol><li>Запустите объект локальной групповой политики для пользователей, которые не входят в группу администраторы;</li><li>Разверните узел <strong>Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером</strong>;</li><li>Откройте параметр <strong>Отключить вкладку Безопасности</strong>. В открывшемся диалоговом окне выберите опцию <strong>Включить</strong>. При необходимости введите комментарий, затем нажмите на кнопку <strong>ОК</strong>;</li><li>Повторите эти действия для следующих параметров: <strong>Отключить вкладку Дополнительно</strong>, <strong>Отключить вкладку Программы</strong> и <strong>Отключить вкладку Подключения</strong>;</li><li>Разверните узел <strong>Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка Дополнительно</strong>;</li><li>Откройте параметр <strong>Включить ClearType</strong>, в открывшемся диалоговом окне выберите опцию <strong>Включить</strong>. При необходимости введите комментарий, затем нажмите на кнопку <strong>ОК</strong>.</li><li>Повторите эти действия для параметра <strong>Показывать анимацию на веб-страницах</strong>.</li></ol><p>Перезагрузите компьютер для проверки параметров.</p><p>После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики пользователей, не входящих в группу <strong>Администраторы</strong>, войдите в систему под учетной записью, которая не состоит в группе <strong>Администраторы</strong>. Откройте <strong>Свойства обозревателя</strong> веб-браузера Internet Explorer. Как видите на следующем скриншоте, вкладки, которые были отключены при помощи групповых политик не отображаются. Причем, открыв этот же диалог под учетной записью, которая входит в группу <strong>Администраторы</strong> все отключенные выше вкладки будут отображаться.</p><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_08.jpg alt=* width=423 height=572/></p><h3>Локальная групповая политика для отдельного пользователя</h3><p>Этот пример показывает способ настройки параметров групповой политики для определенного пользователя, который есть на вашем компьютере. В этом примере, мы укажем для пользователя конкретную визуальную тему и запретим изменять все параметры окна персонализации. Для этого выполните следующие действия:</p><ol><li>Выберите в диалоге <strong>Поиск групповой политики</strong> оснастки групповой политики консоли управления ММС любого пользователя, созданного на вашем компьютере;</li><br/><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_09.jpg alt=* width=480 height=354/></p><li>Разверните узел <strong>Конфигурация пользователя\Административные шаблоны\Панель управления\Персонализация</strong>;</li><li>Откройте параметр <strong>Загрузить указанную тему</strong>. В открывшемся диалоговом окне выберите опцию <strong>Включить</strong>. В текстовом поле <strong>Путь к файлу темы</strong> введите полный путь к установленной на компьютере теме, например: %USERPROFILE%\ AppData\Local\Microsoft\Windows\Themes\Australia\Australia.theme. При необходимости введите комментарий, затем нажмите на кнопку <strong>ОК</strong>;</li><li>Для параметров <strong>Запретить изменение заставки</strong>, <strong>Запретить изменение звуков</strong>, <strong>Запретить изменение темы</strong>, <strong>Запретить изменение фона рабочего стола</strong> и <strong>Запретить изменение стилей оформления окон и кнопок</strong> выберите опцию <strong>Включить</strong>;</li></ol><p>Перезагрузите компьютер для проверки параметров.</p><p>После перезагрузки, зайдите в систему под учетной записью того пользователя, для которого вы изменяли параметры групповой политики. Зайдите в окно <strong>Персонализация</strong>. Как видно на следующем скриншоте, под этой учетной записью у вас нет прав для изменения текущих настроек, причем у всех остальных учетных записей вашего компьютера на выполнение этих действия права остаются.</p><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_10.JPG alt=* width=480 height=131/></p><h2>Удаление объектов локальной групповой политики</h2><br><p>В некоторых случаях, перед вами может стоять необходимость удаления объектов локальной групповой политики. Вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики. Удалить их вы можете следующим образом:</p><ol><li>Войдите в систему под учетной записью, которая создавалась при инсталляции операционной системы;</li><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>;</li><li>Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>;</li><li>В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Редактор объектов групповой политики</strong> и нажмите на кнопку <strong>Добавить</strong>;</li><li>Для того чтобы выбрать нужный объект групповой политики, в появившемся диалоге <strong>Выбор объекта групповой политики</strong> нажмите на кнопку <strong>Обзор</strong>;</li><li>В диалоге <strong>Поиска объекта групповой политики</strong> перейдите на вкладку <strong>Пользователи</strong>, где из контекстного меню политики, которую нужно удалить выберите команду <strong>Удалить объект групповой политики</strong>;</li><li>В диалоге с предупреждением нажмите на кнопку <strong>Да</strong>;</li></ol><p><img src=http://oszone.net/figs/u/72715/100210101437/mlgpo_11.JPG alt=* width=480 height=356/></p><h2>Заключение</h2><br><p>В данной статье рассмотрен вопрос применения и настройки <strong>Множественной локальной групповой политики</strong>. Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки <strong>Объекты локальной групповой политики</strong> по отношению ко всем операционным системам, предшествующим Windows Vista. Используя инструкции данной статьи, вы научились открывать оснастку <strong>Множественная локальная групповая политика</strong>, познакомились с примерами использования множественной локальной групповой политики. В описанных выше примерах вы узнали, как используется множественная локальная групповая политика для всех четырех ее объектов: политики локального компьютера, локальной групповой политики группы <strong>Администраторы</strong>, локальной групповой политики пользователей, не входящих в группу администраторов, а также локальной групповой политики для отдельного пользователя. Ознакомившись с инструкцией удаления объектов локальной групповой политики, вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики</p> http://www.microsoft.com/rus/business/smb/blog/53/ Microsoft for Business <h2>Введение</h2><br><p>Относительно недавно я рассказывал о замечательном продукте Windows SteadyState от корпорации Microsoft, который позволяет устанавливать ограничения для компьютеров и пользователей, расположенных в школьных компьютерных классах и библиотеках. Также я в этой статье указывал, что данный продукт поддерживает только операционные системы Windows XP и Windows Vista, то есть, если в вашем компьютерном классе на ученических компьютерах развернуты операционные системы <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, то для управления конфигурацией компьютеров и пользовательских учетных записей Вам нужно будет воспользоваться функционалом групповых политик. В этой статья я расскажу о том, как можно выполнять идентичные ограничения для компьютеров под управлением операционной системы Windows 7, то есть будет рассмотрено множество параметров политик, которые выполняют такие же действия, как и действия, выполняемые средствами продукта Windows SteadyState. Помимо этого, так как предыдущая статья имела обзорный характер, в данной статье будут подробно рассмотрены параметры продукта Windows SteadyState и, соответственно, параметры групповых политик. Также, в связи с тем, что параметров конфигурации пользователей и конфигурации компьютера в продукте Windows SteadyState довольно много, данная статья будет разбита на две части. В первой части я расскажу о параметрах групповых политик, которые относятся к глобальным параметрам компьютера, то есть изменения, которые вносятся в раздел HKEY_LOCAL_MACHINE системного реестра. Во второй части статьи мы с вами рассмотрим параметры групповой политики, при помощи которых вы сможете управлять настройками пользователей, то есть изменения, которые вносятся в раздел HKEY_CURRENT_USER.</p><h2>Установка ограничений компьютера</h2><br><p>Как я уже говорил в предыдущей статье, в состав <strong>Установки ограничений компьютера</strong> входят параметры конфиденциальности, параметры безопасности и прочие параметры. Параметры конфиденциальности предназначены для защиты конфиденциальности всех пользователей общего компьютера, параметры безопасности защищают компьютер от изменений или повреждений, связанных с действиями пользователей, а прочие параметры предназначены для отображения списка имен пользователей на экране приветствия при каждом запуске операционной системы <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. Прежде всего, мы с вами рассмотрим параметры конфиденциальности. В эту группу входят следующие три параметра:</p><ul><li><strong>Не отображать имена пользователей в диалоговом окне Вход в систему Windows</strong>. Так как в учебных заведениях одним компьютером могут пользоваться десятки учеников, хорошим ходом будет отключение отображения имени последнего пользователя, выполнившего вход на экране входа в систему. В операционной системе Windows 7 за этот параметр отвечает политика <strong>Интерактивный вход в систему: не отображать последнее имя пользователя</strong>, которую вы можете найти в узле <strong>Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности</strong>, что можно увидеть на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110301075712/steadystategpo1-01.jpg alt=* width=431 height=513/></p><p><strong>Рис. 1. Отключение отображения имен пользователей на экране входа в систему</strong></p><p>Для того чтобы имя последнего пользователя, выполнявшего вход в систему не отображалось, следует включить данную политику безопасности;</p><li><strong>Запретить вход в систему заблокированных или перемещаемых профилей, которые могут быть найдены на компьютере</strong>. Как вы все знаете, после выполнения входа в систему, в операционной системе создается профиль для этого пользователя. Этот параметр предназначен для того чтобы запрещать вход в систему пользователей, у которых не существует профиля;</li><li><strong>Не кэшировать копии заблокированных или перемещаемых профилей пользователей, ранее вошедших в систему</strong>. Используя текущий параметр ограничений компьютера, вы можете существенно повысить конфиденциальность перемещаемых профилей ваших пользователей, тем самым запретив кэшировать данные тех пользователей, которые уже заблокированы. В принципе, в самой оснастке <strong>Редактор локальных объектов групповой политики</strong> вы не сможете найти отдельные параметры, позволяющие обеспечить данную функцию. В этом случае, вам необходимо настроить перемещаемые профили (управление перемещаемыми профилями было рассмотрено в статье <a href=http://oszone.net/14008/userprofiles2>Пользовательские профили и их управление. Часть 2</a>), а также воспользоваться параметрами политик, которые расположены в узле <strong>Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей</strong>. Например, используя параметр <strong>Запретить передачу на сервер изменений в перемещаемом профиле</strong>, вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. То есть, включив этот параметр политики, при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.</li></ul><p>Как я уже упомянул, параметры безопасности продукта Windows SteadyState предназначены для защиты компьютера от изменений и повреждений. Здесь вы можете найти следующие семь параметров:</p><ul><li><strong>Удалить администраторов с экрана приветствия</strong>. До появления операционной системы <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a> на экране входа в систему можно было с легкостью найти учетную запись администратора. В таких операционных системах, как Windows <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a> и Windows 7 экран входа в систему сделан так, что по умолчанию на нем не отображена учетная запись администратора и, соответственно, нет смысла рассматривать отдельный параметр групповой политики, который отвечал бы за данную опцию;</li><li><strong>Удалить варианты выключения с экрана приветствия и диалогового окна Вход в Windows</strong>. Эту опцию имеет смысл использовать для того, чтобы ваши пользователи случайно не выключили компьютер из экрана входа в систему. Для того чтобы исключить эти кнопки у пользователей Windows 7, вам нужно в редакторе объектов групповой политики, в узле <strong>Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности</strong>, выбрать параметр политики <strong>Завершение работы: разрешить завершение работы системы без выполнения входа в систему</strong> и установить переключатель на опцию <strong>Отключить</strong>. Теперь, для того чтобы выключить компьютер, пользователю необходимо успешно выполнить вход в систему и этот пользователь должен обладать правами на завершение работы системы;</li><li><strong>Запретить Windows вычислять и сохранять пароли с помощью хэш-значений LAN Manager</strong>. При указании этой опции в продукте Windows SteadyState, вы тем самым существенно повышаете безопасность хранения паролей в связи с отключением хэшированной формы механизма шифрования LanMan для всех паролей. Для того чтобы воспользоваться этой опцией на компьютере, с установленной операционной системой Windows 7, вам нужно в диалоговом окне параметра политики <strong>Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля</strong> установить переключатель на опцию <strong>Включен</strong>. Этот параметр политики вы можете найти в узле <strong>Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности</strong>, что можно увидеть ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/110301075712/steadystategpo1-02.jpg alt=* width=431 height=513/></p><p><strong>Рис. 2. Запрещаем ОС вычислять и сохранять пароли с помощью хэш-значений LAN Manager</strong></p><p>Начиная с операционной системы Windows Vista, текущий параметр по умолчанию включен;</p><li><strong>Не сохранять имена пользователей и пароли, применявшиеся для входа в <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Windows Live</a> ID или домен</strong>. Я думаю, что ни для кого не окажется новостью, что злонамеренными пользователями могут даже посредственные школьники, причем не только в столичных учебных заведениях. И, как многие из вас знают, в операционных системах Windows, диспетчер учетных данных позволяет сохранять локально учетные данные и пароли аккаунтов Windows <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Live</a>, а также учетные данные доменных пользователей. При помощи этого параметра вы можете запретить локальное сохранение паролей. Для того чтобы запретить диспетчеру учетных данных сохранять пароли пользователей в операционной системе Windows 7 при помощи функционала групповых политик, вам нужно следовать следующим инструкциям. Откройте параметр политики <strong>Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности</strong>, который расположен в узле <strong>Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности</strong> и установите переключатель на опцию <strong>Включить</strong>;</li><li><strong>Запретить пользователям создавать папки и файлы на диске С:\</strong>. Во многих учебных программах выделяется по меньшей мере один урок для того, чтобы дети учились создавать файлы и папки и во время проведения урока могут быть созданы десятки папок только одним учеником. Удалять после них весь мусор может быть крайне неудобно, так как компьютеров в классе может быть много, а время на перемену не такое уж и большое, да и помимо чистки компьютеров у учителей есть еще другие обязанности. Этот параметр изменяет список контроля доступа (ACL) в корне системного диска и запрещает пользователям создавать файлы и папки. Для того чтобы установить этот параметр в Windows 7, вам нужно будет вручную изменить список ACL для ваших пользователей;</li><li><strong>Запретить пользователям открывать документы Microsoft Office из обозревателя <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a></strong>. В целях безопасности, при помощи текущего параметра вы можете запретить своим пользователям открывать файлы Microsoft Office из браузера Internet Explorer. К сожалению, штатными средствами групповых политик вы не можете указать такие настройки, так что для этого вам нужно будет изменить несколько параметров системного реестра, а затем вы можете эти параметры указать в ADMX файле. Для этого, вам нужно в созданном вами ADMX файле, указать для DWORD-параметров BrowserFlags разделов реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.5], [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8] и [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.12] значение 8. В этом случае я указал разделы реестра, значения которых нужно изменить только для запрета открытия файлов электронных таблиц Microsoft Office Excel в браузере Internet Explorer;</li><li><strong>Запретить запись на USB-накопители</strong>. Практически на каждом уроке, каждый ученик норовит вставить в компьютер свой USB-накопитель, чтобы записать себе какие-либо файлы для последующей работы над ними. В некоторых случаях на это можно закрыть глаза, но иногда данную <a>возможность</a> необходимо пресекать сразу и для этого вы можете воспользоваться текущим параметром. Чтобы внести такое же изменение в операционную систему Windows 7, вам нужно в оснастке редактора объектов групповых политик открыть узел <strong>Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным запоминающим устройствам</strong>, а затем открыть свойства параметра политики <strong>Съемные диски: запретить запись</strong>. В отобразившемся диалоговом окне установите опцию на команду <strong>Включить</strong>.</li></ul><p>Так как группа другие параметры содержит изменения, связанные с экраном приветствия для операционной системы Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a>, в данной статье не рассматривается текущий параметр.</p><h2>Планирование обновлений</h2><br><p>Если у вас в вашем учебном заведении развернут WSUS-сервер, а все клиентские компьютеры входят в домен Active Directory, то можете считать, что у вас отлично спроектирована инфраструктура ваших рабочих мест. В этом случае вам нужно настроить клиентские компьютеры на автоматическую загрузку и установку обновлений непосредственно с сервера обновлений, который у вас развернут на базу WSUS-сервера. В этом случае, вы можете следовать инструкциям, которые я описывал в статье <a href=http://oszone.net/14386/wsus-comp>Настройка клиентских компьютеров WSUS</a>. Если же у вас не развернут WSUS-сервер, то вам следует настроить некоторые параметры групповой политики в оснастке <strong>Редактор управления групповыми политиками</strong>, которые расположены в узле <strong>Конфигурация компьютера\Политики\Административные шаблоны\Конфигурация Windows\Центр обновления Windows</strong>. В этом случае вам следует выполнить следующие действия:</p><p><a href=http://oszone.net/figs/u/72715/110301075712/steadystategpo1-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/110301075712/steadystategpo1-03_mini_oszone.jpg alt=* width=480 height=324/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Параметры политики, отвечающие за настройку обновлений операционной системы</strong></p><ol><li>Откройте политику <strong>Настройка автоматического обновления</strong>, установите переключатель на опцию <strong>Включить</strong>, в раскрывающемся списке выберите опцию <strong>4 - Автоматическая загрузка и установка по расписанию</strong> и установите в соответствующих полях дни недели и время для установки обновлений по расписанию. Например, ежедневно в 11 часов дня;</li><li>Откройте политику <strong>Не отображать параметр Установить обновления и завершить работу в диалоговом окне Завершение работы Windows</strong> и установите переключатель опции <strong>Включить</strong>. Нажмите на кнопку <strong>ОК</strong>;</li><li>Откройте политику <strong>Включить уведомления о наличии программ</strong> и установите переключатель на опции <strong>Включить</strong>. Нажмите на кнопку <strong>ОК</strong>;</li><li>Откройте политику <strong>Включить рекомендуемые обновления через автоматическое обновление</strong> и установите переключатель на опции <strong>Включить</strong>. Нажмите на кнопку <strong>ОК</strong>;</li><li>Откройте политику <strong>Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи</strong> и установите переключатель на опции <strong>Включить</strong>. Нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Продолжение следует.</p> http://www.microsoft.com/rus/business/smb/blog/52/ Microsoft for Business <h2>Введение</h2><br><p>Из предыдущей статьи данного цикла вы узнали об основных возможностях технологии IPSec, о заголовках Authentication Header и Encapsulating Security Payload, а также о таких компонентах, как агент политики IPSec, обмен ключами в Интернете и драйвер IPSec. Перед тем как начать процесс развертывания политики IPSec, вам нужно определить, как именно нужно защищать ваши компьютеры. Не стоит забывать, что вы можете настроить конкретные типы трафика на разрешение или блокирование, основываясь на комбинации адреса источника и назначения, а также определенных портов. Помните, что IPSec позволяет блокировать известные порты программного обеспечения, и даже если ваш сервер уже инфицирован, он не сможет заразить другие компьютеры или разрешить доступ через известный для IPSec порт. В этой статье я расскажу вам о режимах, которые обеспечивают защиту данных и подлинности IP-пакетов, а именно о транспортном и тунельном режимах IPSec.</p><h2>Транспортный режим IPSec</h2><br /> <p>Режим транспорта IPSec используется для безопасности связи между двумя компьютерами, а также применяется в частных виртуальных сетях на основе IPSec, где задействуется протокол Layer Two Tunneling Protocol (L2TP) для туннелирования подключения IPSec через общественную сеть и является режимом для IPSec по умолчанию. Транспортный режим обеспечивает защиту полезных данных пакетов IP, добавляя дополнительный заголовок или трейлер между исходной датаграммой IP и ее полезными данными. Полезными данными IP считаются TCP-сегменты, которые содержат заголовок TCP и данные TCP-сегмента, сообщения UDP, которые содержат заголовок UDP и данные сообщения UDP, а также сообщение ICMP. Пример безопасности IPSec узел - узел позволяет вам обеспечить безопасность и установить доверия одноадресной рассылки от исходного IP-адреса к IP-адресу назначения одноадресной рассылки. Соответственно, вы можете обеспечить безопасность вашего сервера в тех случаях, когда доступ к серверу разрешается только доверенным компьютерам. Используя режим транспорта IPSec, вы можете защищать полезные данные IP при помощи заголовков AH и ESP. Рассмотрим по очереди режим транспорта AH и режим транспорта ESP в следующих подразделах.</p><h2>Режим транспорта AH</h2><br /> <p>Как я уже говорил в предыдущей статье, заголовок AH обеспечивает проверку подлинности, целостность и защиту портов, причем, используя текущий заголовок данные не шифруются и не обеспечивается никакая конфиденциальность. При использовании данного заголовка, передаваемые данные доступны для чтения, однако зашифрованы для изменения. Сразу после заголовка IP в датаграмму добавляется AH. Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается идентификатор протокола IP 51 (0х33). В этом случае маршрутизаторы перенаправляют трафик как любые другие IP-пакеты, но на брандмауэрах и межсетевых экранах вам придется разрешить пересылку IP-трафика по протоколу 51. После включения AH создается дополнительный пакет служебных данных, который уменьшает наибольший размер передаваемых данных (Maximum transmission unit, MTU) между двумя конечными точками. Для AH рассчитывается ICV, дополнительно обрабатывая служебные данные для каждого защищенного пакета. При помощи сетевых адаптеров можно свести к минимуму служебные данные, которые выполняют криптографические изменения в оборудовании. Для подписания пакетов AH использует алгоритмы хеширования с ключами.</p><p>В режиме транспорта AH, ICV при выполнении своего расчета включает следующие компоненты:</p><ul><li>Весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;</li><li>Все поля в AH;</li><li>Полезные данные пакетов IP.</li></ul><p>AH в режиме транспорта защищает IP-заголовок за исключением полей, для которых разрешены изменения и полезные данные в исходной IP-датаграмме. Если помимо заголовка AH используется другой заголовок IPSec, заголовок AH вставляется перед любыми другими заголовками IPSec. Режим транспорта AH схематически изображен на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-01.JPG alt=* width=480 height=245/></p><p><strong>Рис. 1. Режим транспорта AH</strong></p><h2>Режим транспорта ESP</h2><br /> <p>По поводу заголовка ESP я также говорил в предыдущей статье данного цикла. Иными словами, вы прекрасно знаете, что данный режим помимо проверки подлинности, целостности и защиты от повторов также обеспечивает конфиденциальность полезных данных IP. Но, в режиме транспорта ESP подписывает не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-датаграмму сразу после заголовка IP, а трейлер ESP, соответственно, добавляется сразу после передачи полезных данных. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50 (0х32). В этом случае маршрутизаторы перенаправляют трафик как любые другие IP-пакеты, но на брандмауэрах и межсетевых экранах вам придется разрешить пересылку IP-трафика по протоколу 50, причем, полезная нагрузка остается неизмененной. Подобно AH, после включения ESP создается дополнительный пакет служебных данных, который уменьшает наибольший размер передаваемых данных между двумя конечными точками. Режим транспорта ESP шифрует следующие части пакета:</p><ul><li>Полезные данные IP;</li><li>Поля заполнения, длины заполнения и следующий заголовок трейлера ESP.</li></ul><p>Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации (IV) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть <a>возможность</a> просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения IV, вектор инициализации охраняется ICV. В этом случае, также как и в случае с AH, ICV выполняет следующие расчеты:</p><ul><li>Все поля в заголовке ESP;</li><li>Полезные данные, включая открытый текст IV;</li><li>Все поля в ESP трейлере за исключением поля данных проверки подлинности.</li></ul><p>Так как в предыдущей статье был рассмотрен только заголовок ESP, трейлер ESP состоит из следующих полей:</p><ul><li>Балласт, который содержит от 0 до 255 байт, используемых для придания зашифрованным полезным данным требуемого алгоритмом шифрования вместе с балластом размера в байтах,;</li><li>Длина балласта, которая указывает длину поля балласта (в байтах). Получатель использует это поле для удаления балластных байтов после расшифровки полезных данных вместе с балластом;</li><li>Следующий заголовок, который указывает тип полезных данных, например TCP или UDP.</li></ul><p>Режим транспорта ESP схематически изображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/110118065817/IPSec2-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-02_mini_oszone.JPG alt=* width=480 height=277/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Режим транспорта ESP</strong></p><p>Рассмотрим простейший пример использования транспортного режима IPSec. В этом примере политики IPSec распространяются на два компьютера: компьютер отправитель и компьютер получатель. Оба компьютера, или узла, предполагают, что между ними установлена не безопасная среда, несмотря на то, что они могут быть расположены как недалеко друг от друга, так и в разных сегментах сети или через Интернет-соединение. IPSec используется для обеспечения подлинности и гарантии того, что трафик не будет изменен между этими компьютерами. Данный пример изображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/110118065817/IPSec2-03.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-03_mini_oszone.JPG alt=* width=480 height=364/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Пример использования режима транспорта</strong></p><h2>Туннельный режим</h2><br /> <p>Несмотря на то, что по умолчанию используется режим транспорта, отдельный шлюз VPN может быть несовместим с L2TP/IPSec подключениями VPN. В этом случае вы можете использовать режим туннелирования. В отличие от режима транспорта, который зашифровывает только полезные данные IP, режим туннелирования IPSec зашифровывает как полезные данные, так и заголовок IP. Именно в этом режиме обеспечивается защита и инкапсуляция всего IP-пакета с дополнительным незащищенным заголовком. IP-адреса внешнего заголовка IP представляют туннельные канальные точки, а адреса IP внутреннего заголовка представляют первичные начальный и конечный адреса. По сути, режим туннелирования IPSec поддерживается как дополнительная функция. Применяется данный режим для создания некоторых туннелей между шлюзами с целью обеспечения интерперабельности среди маршрутизаторов, шлюзов и конечных систем, которые не поддерживают подключения L2TP/IPSec и PPTP. Зачастую используются такие конфигурации туннельного режима, как шлюз - шлюз, сервер - шлюз, сервер - сервер. Однако, так как туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, туннели IPSec не поддерживаются в сценариях удаленного доступа к VPN. Также как и в случае с транспортным режимом, туннельный режим может рассматривать пакет IP как полезные данные AH или ESP, о чем речь пойдет в следующих подразделах.</p><h2>Туннельный режим AH</h2><br /> <p>Туннельный режим AH инкапсулирует всю исходную IP-датаграмму в заголовок нового IP и AH. Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается идентификатор протокола IP 51 (0х33), причем исходный заголовок IP и полезные данные остаются без изменений. Внешний IP-заголовок базируется на конфигурации туннеля IPSec. Локальная подпись IP-адреса источника является лучшим источником для достижения адреса назначения туннеля. Для туннельного режима AH, ICV при выполнении своего расчета включает следующие компоненты:</p><ul><li>Все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;</li><li>Все поля AH;</li><li>Исходный IP-пакет.</li></ul><p>Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:</p><p><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-04.JPG alt=* width=480 height=277/></p><p><strong>Рис. 4. Туннельный режим AH</strong></p><h2>Туннельный режим ESP</h2><br /> <p>Туннельный режим ESP инкапсулирует всю исходную IP-датаграмму в заголовок нового IP, заголовок ESP и трейлер. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50 (0х32), причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP подписанная часть IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. В случае использования данного режима, все, что следует после заголовка ESP, подписывается, так как является инкапсулированным в туннелированный пакет, а исходный заголовок помещается после заголовка ESP. Кроме того, до выполнения шифрования ко всему IP-пакету добавляется трейлер ESP и зашифровывается все кроме трейлера. После этого все полезные данные ESP инкапсулируются в новый туннельный заголовок, который не зашифровывается. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей интрасети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер в интрасети. Режим туннелирования ESP шифрует следующие части пакета:</p><ul><li>Исходную IP-датаграмму;</li><li>Поля заполнения, длины заполнения и следующий заголовок трейлера ESP.</li></ul><p>Для туннельного режима ESP расчет ICV производится следующим образом:</p><ul><li>Все поля в заголовке ESP;</li><li>Исходная IP-датаграмма, включая открытый текст IV;</li><li>Все поля заголовка ESP, за исключением поля данных проверки подлинности.</li></ul><p>Стоит отметить, что в туннельном режиме ESP обеспечивается защита для исходного IP-заголовка и полезных данных, однако не предусматривается защита внешнего заголовка IP и поля данных проверки подлинности трейлера ESP. На следующей иллюстрации вы можете увидеть, каким образом туннельный режим ESP инкапсулирует пакет IP в заголовки ESP и IP:</p><p><a href=http://oszone.net/figs/u/72715/110118065817/IPSec2-05.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-05_mini_oszone.JPG alt=* width=480 height=253/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Туннельный режим ESP</strong></p><p>Как я уже говорил немного ранее, вы можете использовать туннельный режим IPSec в различных ситуациях, в которых вам не нужно использовать L2TP/IPSec и PPTP. Рассмотрим простой пример конфигурации туннельного режима шлюз - шлюз: сотрудник вашей организации уехал в командировку и, добравшись до точки назначения, ему понадобилось получить доступ к какому-то конкретному приложению, которое развернуто непосредственно в головном офисе. В этой ситуации трафик отправляется между клиентской машиной в офисе А на сервер, который расположен в главном офисе В. В офисе, в котором находится ваш сотрудник, используется любой сторонний шлюз, а в вашем головном офисе вся инфраструктура развернута на базе <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>. В этом случае, как вы можете увидеть на следующей иллюстрации, туннельный режим IPSec используется для защиты трафика между сторонним шлюзом и шлюзом под управлением <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> R2:</p><p><a href=http://oszone.net/figs/u/72715/110118065817/IPSec2-06.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110118065817/IPSec2-06_mini_oszone.JPG alt=* width=480 height=259/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Пример использования режима туннелирования</strong></p><h2>Заключение</h2><br /> <p>В этой статье вы узнали о режимах, которые обеспечивают защиту данных и подлинности IP-пакетов, а именно о транспортном и туннельном режимах IPSec. Были рассмотрены основные отличия между обоими режимами, а также сценарии защиты полезных данных IP при помощи заголовков AH и ESP для каждого режима.</p> http://www.microsoft.com/rus/business/smb/blog/51/ Microsoft for Business <h2>Постановка задачи</h2><br /> <p>Предположим, что у нас имеется вот такая таблица Excel:</p><p><img width=90% src=../../imgs/blogs/50/img001.gif /> </p><p> В ней хранится информация о ключевых клиентах нашей компании (адреса, имена и т.д.), которых мы хотим поздравить с очередным праздником с помощью вот такого поздравительного письма в Word:<br /><img width=90% src=../../imgs/blogs/50/img002.gif /></p><p> Задача состоит в том, чтобы автоматически создать на каждого отдельное письмо, куда будут подставлены ФИО и название компании клиента, с тем чтобы потом эти письма вывести на печать. <br />Решить подобную проблему можно либо в Excel с <a href=http://www.planetaexcel.ru/tip.php?aid=156 target=_blank>использованием макросов</a>, либо с помощью специально созданного для этого инструмента в Microsoft Word - <strong>Слияния </strong><strong>(Mail Merge)</strong>.</p><h2>Шаг 1. Подготовка списка клиентов в Excel</h2><br /> <p>Таблица со списком клиентов должна удовлетворять нескольким простым условиям:</p><ul><li>шапка таблицы должна быть простой - одна строка с уникальными названиями столбцов (без повторений и пустых ячеек) </li><li>в таблице не должно быть объединенных ячеек </li><li>в таблице не должно быть пустых строк или столбцов (отдельные пустые ячейки допускаются) </li><li>т.к. Excel и Word не смогу сами определить пол клиента по имени, то имеет смысл сделать отдельный столбец с обращением (господин, госпожа и т.п.) или с родовым окончанием (-ый или -ая) для обращения &quot;Уважаемый(ая)...&quot;</li></ul><p>В новых версиях Microsoft Excel 2007/2010 очень удобно использовать инструмент <a href=http://www.planetaexcel.ru/tip.php?aid=206 target=_blank><strong>Форматировать как таблицу</strong></a><strong> </strong><strong>(</strong><strong>Format</strong><strong> </strong><strong>as</strong><strong> </strong><strong>Table</strong><strong>)</strong> с вкладки <strong>Главная </strong><strong>(</strong><strong>Home</strong><strong>)</strong> для создания подобных таблиц с данными для рассылки.</p><h2>Шаг 2. Подготовка шаблона письма в Word</h2><br /> <p>Здесь все проще - нужен обычный документ Word с оставленными в нем пустыми местами для вставки полей из списка Excel.</p><h2>Шаг 3. Слияние</h2><br /> <p>Открываем шаблон письма в Word и запускаем пошаговый Мастер Слияния на вкладке <strong>Рассылки </strong><strong>(Mailings)</strong> кнопкой <strong>Начать слияние </strong><strong>(Start Mail Merge)</strong><strong> - Пошаговый мастер слияния </strong><strong>(Step-by-Step Merge Wizard)</strong><strong>:</strong> <br /><img border=0 width=296 height=281 src=../../imgs/blogs/50/img003.gif /></p><p> В Word 2003 и старше эта команда была доступна в меню <strong><em>Сервис - Письма и рассылки - Мастер слияния </em></strong><strong><em>(Tools - Letters and Mailings - Mail Merge)</em></strong>.<br />Далее следует процесс из 6 этапов (переключение между ними - с помощью кнопок <strong>Вперед </strong><strong>(Next)</strong> и <strong>Назад </strong><strong>(Back)</strong> в правом нижнем углу в области задач).</p><h2>Этап 1. Выбор типа документа.</h2><br /> <p><img border=0 width=150 height=311 src=../../imgs/blogs/50/img004.gif /></p><p> На этом шаге пользователь должен выбрать тип тех документов, которые он хочет получить на выходе после слияния. Наш вариант - <strong>Письма </strong><strong>(Letters)</strong><strong>.</strong></p><h2>Этап 2. Выбор документа</h2><br /> <p><img border=0 width=150 height=311 src=../../imgs/blogs/50/img005.gif /></p><p> На этом шаге необходимо определить, какой документ будет являться основой (заготовкой) для всех будущих однотипных сообщений. Мы выбираем - <strong>Текущий документ </strong><strong>(Current document)</strong>.</p><h2>Этап 3. Выбор получателей</h2><br /> <p><img border=0 width=150 height=177 src=../../imgs/blogs/50/img006.gif /></p><p> На этом шаге мы подключаем список клиентов в Excel к документу Word. Выбираем <strong>Использование списка</strong> и жмем на <strong>Обзор </strong><strong>(Browse)</strong>, после чего в диалоговом окне открытия файла указываем где лежит наш файл со списком клиентов. После выбора источника данных, Word позволяет провести фильтрацию, сортировку и ручной отбор записей при помощи окна <strong>Получатели слияния</strong>:</p><p> <img border=0 width=90% src=../../imgs/blogs/50/img007.gif /></p><h2>Этап 4. Создание письма</h2><br /> <p><img border=0 width=150 height=211 src=../../imgs/blogs/50/img008.gif /></p><p> На этом этапе пользователь должен указать - куда именно в документ должны попасть данные из подключенного списка. Для этого необходимо установить курсор в точку вставки в письме и использовать ссылку <strong>Другие элементы -</strong> она выводит полный набор всех полей списка, из которого мы и выбираем нужное поле для вставки:</p><p> <img border=0 width=231 height=255 src=../../imgs/blogs/50/img009.gif /></p><p> В итоге, после вставки всех полей слияния, у нас должно получиться нечто похожее:</p><p> <img border=0 width=90% src=../../imgs/blogs/50/img010.gif /></p><h2>Этап 5. Просмотр писем</h2><br /> <p>На этом этапе пользователь уже может предварительно просмотреть результаты слияния, используя кнопки со стрелками. При необходимости, также, можно исключить любого получателя из набора. </p><h2>Этап 6. Завершение слияния</h2><br /> <p><img border=0 width=202 height=106 src=../../imgs/blogs/50/img011.gif /></p><p> Нажатие ссылки <strong>Печать</strong> приведет к немедленной отправке всех результатов слияния на принтер без вывода на экран.</p><p> Если необходимо сохранить созданные в результате слияния документы для дальнейшего использования или требуется внести ручную правку в некоторые из документов, то лучше использовать ссылку <strong>Изменить часть писем </strong><strong>(Edit individual letters)</strong>, которая выведет результаты слияния в отдельный файл:</p><p> <img border=0 width=90% src=../../imgs/blogs/50/img012.gif /></p><p>Вот и все! Получившийся документ можно отправить на печать или отредактировать-сохранить по желанию для похожих рассылок в будущем.</p> http://www.microsoft.com/rus/business/smb/blog/50/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущей части статьи о локальных политиках безопасности вы узнали о методах использования локальных политик безопасности, при помощи которых можно управлять настройками, имеющими отношение к безопасности, как вашего домашнего компьютера, так и компьютеров, расположенных в доменной среде организации. Начиная с этой статьи, будут подробно рассматриваться все категории политик, которые относятся к обеспечению безопасности ваших компьютеров. В этой статье вы узнаете об управлении проверкой подлинности пользовательских учетных записей, а именно об узле <strong>Политики учетных записей</strong>. Применение этих политик распространено в предприятиях с доменной средой. Для обеспечения безопасности ваших компьютеров, применение политик этой группы на компьютерах, не входящих в доменную среду (например, использование политик на вашем домашнем компьютере) поможет вам существенно повысить безопасности компьютера.</p><p>Без сомнения, корпоративные учетные записи представляют огромный интерес для хакеров, которых может заинтересовать хищение корпоративной информации, а также получение доступа к компьютерам вашего предприятия. Поэтому, одним из решений, позволяющих существенно обезопасить инфраструктуру предприятия, является использование безопасных сложных паролей для снижения возможности проникновения злоумышленниками. Также не стоит забывать о том, что злоумышленники могут находиться гораздо ближе, чем вы себе представляете. Я настоятельно рекомендую <strong>заставить</strong> пользователей использовать сложные пароли, включая буквы разных регистров, цифры, а также специальные символы для паролей к своим учетным записям и ни в коем случае не оставлять свои пароли у всех на виду. Я имею в виду не записывать их на бумагу и не размещать на своем рабочем месте, рядом с компьютером, а тем более - не закреплять их на своих мониторах (что встречается довольно таки часто). Также пользователи обязаны менять свои пароли по истечению срока, который вы установите. Например, указав срок действия пароля в 30 дней, по его истечению перед входом пользователя в свою учетную запись, отобразится диалог с требованием изменения текущего пароля.</p><p>Для того чтобы найти политики, предназначенные для управления учётными записями, в редакторе управления групповыми политиками откройте узел <strong>Конфигурация компьютера\Параметры безопасности\Политики учетных записей</strong>. Рассмотрим подробно каждую политику безопасности, которая применяется для управления паролями и блокировкой учетных записей пользователей.</p><h2>Политика паролей</h2><br><p>При помощи этого узла вы можете изменять настройки паролей учетных записей пользователей, которые состоят как в домене, так и в рабочих группах. В организациях вы можете применять одинаковые политики паролей для всех пользователей, входящих в домен или только для отдельных групп при помощи оснастки <strong>Консоль управления групповыми политиками</strong>. В узле <strong>Политика паролей</strong> вы можете использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры безопасности, применяемые для управления паролями учетных записей. Настоятельно рекомендую не игнорировать данные политики. Даже если вы уговорите своих пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если вы правильно настроите все шесть политик безопасности, расположенных в этом узле, безопасность паролей пользователей вашей организации значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают сложными. Доступны следующие политики безопасности:</p><p><a href=http://oszone.net/figs/u/72715/100315052433/pol-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100315052433/pol-01_mini_oszone.jpg alt=* width=480 height=316/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1 Узел Политика паролей</strong></p><p><strong>Вести журнал паролей</strong>. Насколько не был бы ваш пароль безопасным, злоумышленник рано или поздно сможет его подобрать. Поэтому необходимо периодически изменять пароли учетных записей. При помощи этой политики вы можете указать количество новых паролей, которые назначаются для учетных записей до повторного использования старого пароля. После того как эта политика будет настроена, контроллер домена будет проверять кэш предыдущих хэш-кодов пользователей, чтобы в качестве нового пароля пользователи не могли использовать старый. Число паролей может варьироваться от 0 до 24. Т.е., если вы указали в качестве параметра число 24, то пользователь сможет использовать старый пароль с 25-ого раза.</p><p><strong>Максимальные срок действия пароля</strong>. Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в промежутке от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля варьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.</p><p><strong>Минимальная длина пароля</strong>. При помощи этой политики вы можете указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового пароля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.</p><p><strong>Минимальные срок действия пароля</strong>. Многие пользователи не захотят утруждать себя запоминанием нового сложного пароля и могут попробовать сразу при вводе изменить такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Вы можете указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в промежутке от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок действия нового пароля не должен превышать значение максимального срока действия.</p><p><strong>Пароль должен отвечать требованиям сложности</strong>. Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями, пароли должны:</p><ul><li>содержать буквы верхнего и нижнего регистра одновременно;</li><li>содержать цифры от 0 до 9;</li><li>содержать символы, которые отличаются от букв и цифр (например, !, @, #, $, *);</li><li>Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.</li></ul><p>В том случае, если пользователь создал или изменил пароль, который соответствует требованиям, то пароль пропускается через математический алгоритм, преобразовывающий его в хэш-код (также называемый односторонней функцией), о котором шла речь в политике <strong>Вести журнал паролей.</strong></p><p><strong>Хранить пароли, используя обратимое шифрование</strong>. Для того чтобы пароли невозможно было перехватить при помощи приложений, Active Directory хранит только хэш-код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, вы можете использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно понижается. Использование этой функции аналогично хранению пароля в открытом виде.</p><h2>Политика блокировки учетной записи</h2><br><p>Даже после создания сложного пароля и правильной настройки политик безопасности, учетные записи ваших пользователей все еще могут быть подвергнуты атакам недоброжелателей. Например, если вы установили минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как, зачастую имена учетных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля понадобится какие-то две-три недели.</p><p>Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла <strong>Политика блокировки учетной записи</strong>. При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на новый уровень. Для этого узла доступны только три политики, которые рассматриваются ниже.</p><p><a href=http://oszone.net/figs/u/72715/100315052433/pol-02.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100315052433/pol-02_mini_oszone.jpg alt=* width=480 height=316/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2 Политика блокировки учетной записи</strong></p><p><strong>Время до сброса счетчиков блокировки</strong>. Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики <strong>Продолжительность блокировки учетной записи</strong>.</p><p><strong>Пороговое значение блокировки</strong>. Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой <strong>Продолжительность блокировки учетной записи</strong> или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.</p><p><strong>Продолжительность блокировки учетной записи</strong>. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.</p><h2>Политика Kerberos</h2><br><p>В доменах Active Directory для проверки подлинности учетных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется <strong>Билет предоставления билета (TGT - Ticket Granting Ticket)</strong>. Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.</p><p>Данный узел вы можете обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:</p><p><a href=http://oszone.net/figs/u/72715/100315052433/pol-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100315052433/pol-03_mini_oszone.jpg alt=* width=480 height=304/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Политика Kerberos</strong></p><p><strong>Максимальная погрешность синхронизации часов компьютера</strong>. Для предотвращения атак повторной передачи пакетов существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой.</p><p><strong>Максимальный срок жизни билета пользователя</strong>. При помощи текущей политики вы можете указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.</p><p><strong>Максимальный срок жизни билета службы</strong>. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Вы можете определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.</p><p><strong>Максимальный срок жизни для возобновления билета пользователя</strong>. С помощью данной политики вы можете установить количество дней, в течение которых может быть восстановлен билет предоставления билета.</p><p><strong>Принудительные ограничения входа пользователей</strong>. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.</p><h2>Заключение</h2><br><p>В наше время все чаще приходится заботиться о безопасности учетных записей, как для клиентских рабочих мест вашей организации, так и домашних компьютеров. Недоброжелателями, которые хотят получить контроль над вашим компьютером могут быть не только хакеры, расположенные в тысячах и сотнях тысяч километров от вас, но и ваши сотрудники. Защитить свои учетные записи помогают политики учетных записей. В этой статье подробно рассказывается обо всех политиках, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos - протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена. В следующей статье вы узнаете о политиках аудита.</p> http://www.microsoft.com/rus/business/smb/blog/49/ Microsoft for Business <h2>Введение</h2><br><p>Вы уже имеете представление о назначении и принципах работы с оснасткой <strong>Управление групповой политикой</strong>, о методах создания объектов групповой политики, а также о поиске объектов GPO. Помимо этого, вы научились привязывать объекты групповой политики к подразделениям, доменам или сайтам. Также вы узнали о делегировании объектов групповой политики. Кроме всех этих функций, существует еще один такой компонент, как узел <strong>Начальные объекты групповой политики</strong>, который содержит параметры административных шаблонов, называемые начальными или стартовыми объектами групповой политики. На основании стартовых объектов групповой политики, вы можете создавать новые объекты GPO, в которых будут предварительно скопированы параметры начального объекта групповой политики. Стартовый объект GPO является шаблоном, и поэтому, вы можете импортировать и экспортировать начальные объекты групповой политики, что позволяет вам распространять их в разные доменные окружения. После того как будут настроены стартовые объекты групповой политики, вы сможете при создании нового объекта GPO в диалоговом окне <strong>Новый объект групповой политики</strong> из раскрывающегося списка <strong>Исходный объект групповой политики</strong> выбрать созданный вами ранее стартовый объект GPO. В этой статье вы узнаете о способах создания, редактирования, импорта, экспорта и удаления начальных объектов групповой политики.</p><h2>Создание стартового объекта групповой политики</h2><br><p>По сути, создание объектов не сложнее создания обычного объекта GPO и они создаются тоже непосредственно из оснастки <strong>Управление групповой политикой</strong>. Перед тем как вы начнете создавать начальные объекты групповых политик, вам нужно создать папку стартовых объектов GPO. Для этого сделайте следующее:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>;</li><li>В дереве консоли выберите узел <strong>Начальные объекты групповой политики</strong> и в области сведений нажмите на кнопку <strong>Создать папку стартовых GPO</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-01.jpg alt=* width=480 height=241/></p><p><strong>Рис. 1. Создание папки стартовых объектов групповой политики</strong></p><li>По нажатию на эту кнопку будет создано восемь начальных объектов групповой политики: четыре объекта для Windows XP и четыре для <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a>, которые предназначены только для чтения, и представляют основу для параметров определенного сценария. Эти объекты содержат параметры для компьютеров и пользователей с рекомендуемыми параметрами для среды клиентских компьютеров на предприятии (Enterprise Client - EC) и для клиентской среды с особыми параметрами безопасности и ограниченной функциональности (Specialized Security - Limited Functionality - SSLF). Системные начальные объекты групповой политики вы можете увидеть на следующей иллюстрации:</li><br/><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-02_mini_oszone.JPG alt=* width=480 height=194/><br/>Увеличить рисунок</a></p><p><strong>Рис. 2. Системные начальные объекты GPO</strong></p><li>Для того чтобы просмотреть параметры системного начального объекта GPO, вам нужно в узле начальных объектов групповой политики дерева консоли выбрать любой объект и перейти на вкладку <strong>Параметры</strong>. Эти параметры вы можете просмотреть ниже:</li><br/><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-03.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-03_mini_oszone.JPG alt=* width=480 height=415/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Параметры системных начальных объектов групповой политики</strong></p></ol><p>Одних лишь настроек предустановленных начальных объектов групповой политики может быть недостаточно для ваших потребностей. В отличие от системных начальных объектов GPO, начальные объекты групповой политики, созданные вами, подвластны внесению изменений. Для того чтобы создать начальный объект групповой политики, вам предстоит выполнить следующие действия:</p><ol><li>Откройте оснастку bУправление групповой политикой;</li><li>В дереве консоли выберите узел <strong>Начальные объекты групповой политики</strong> и выберите команду создания стартового объекта GPO одним из следующих способов:</li><ul><li>Нажмите правой кнопкой мыши на узле <strong>Начальные объекты групповой политики</strong> и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>;</li><li>Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду <strong>Создать</strong>;</li><li>Если у вас отображается панель действий, то перейдите на ней по ссылке <strong>Создать</strong>;</li><li>В меню <strong>Действие</strong> выберите команду <strong>Создать</strong>.</li></ul><li>В диалоговом окне <strong>Новый стартовый объект групповой политики</strong>, в поле <strong>Имя</strong> введите название вашего начального объекта GPO, а в поле <strong>Комментарий</strong>, при необходимости, укажите подробное описание для вашего начального объекта групповой политики и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-04.jpg alt=* width=392 height=274/></p><p><strong>Рис. 4. Создание начального объекта групповой политики</strong></p><li>После того как вы нажмете на кнопку <strong>ОК</strong>, новый начальный объект групповой политики будет добавлен в область сведений данного узла. Как видно со следующей иллюстрации, значок созданного вами начального объекта GPO отличается от системного;</li><br/><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-05.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-05_mini_oszone.jpg alt=* width=480 height=51/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Начальные объекты групповой политики в области сведений</strong></p><li>Новый начальный объект групповой политики создается без каких-либо настроек параметров политик. Для того чтобы указать параметры политик, выберите пользовательский начальный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>. В открывшейся оснастке <strong>Редактор стартового GPO групповой политики</strong> вы можете указать параметры групповой политики. При помощи этой оснастки, вы можете настраивать только административные шаблоны конфигурации компьютера или конфигурации пользователя;</li><br/><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-06.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-06_mini_oszone.jpg alt=* width=480 height=342/><br/>Увеличить рисунок</a></p><p><strong>Рис. 6. Оснастка Редактор стартового GPO групповой политики</strong></p><li>По окончанию внесения изменений в административные шаблоны вашего начального объекта GPO закройте оснастку.</li></ol><h2>Экспорт и импорт начальных объектов групповой политики</h2><br><p>Оснастка <strong>Управление групповой политикой</strong> обеспечивает не только создание новых объектов групповых политик из начальных объектов GPO, а еще и превосходный механизм архивации и восстановления начальных объектов GPO. Помимо архивации и восстановления из архива, подобно обычным объектам групповой политики средствами соответствующих команд из контекстного меню (об архивации и восстановлении групповых политик я расскажу подробно в одной из следующих статей), вы можете архивировать и развертывать начальные объекты GPO в CAB-архивы. Такие архивы помогают вам как ИТ-администраторам развертывать существующие начальные объекты групповой политики в окружении, отличающемся от вашей интрасети. Для того чтобы сохранить ваш начальный объект групповой политики как CAB-архив, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Начальные объекты групповой политики</strong> и в области сведений выделите сохраняемый начальный объект GPO;</li><li>Нажмите на кнопку <strong>Сохранить как CAB-файл</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-07.jpg alt=* width=362 height=122/></p><p><strong>Рис. 7. Сохранение начального объекта GPO в CAB-архив</strong></p><li>В открывшемся диалоговом окне <strong>Сохранить начальный объект групповой политики в виде CAB-файла</strong> выберите папку, в которую будет сохранен файл, в текстовом поле <strong>Имя файла</strong> введите имя будущего архива и нажмите на кнопку <strong>Сохранить</strong>;</li></ol><p>Созданный вами архив будет содержать такие элементы, как: настройки административных шаблонов конфигурации компьютера и пользователя, название и тип начального объекта GPO, сохранённый отчет параметров политик, имя автора, комментарии и прочую информацию.</p><p>Сохраненный ранее начальный объект групповой политики при помощи оснастки <strong>Управление групповой политикой</strong> вы можете также просто загрузить на любой домен. Для загрузки начального объекта GPO, вам нужно сделать следующее:</p><ol><li>Откройте оснастку <strong>Управление групповой политикой</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Начальные объекты групповой политики</strong> и нажмите на кнопку <strong>Загрузить CAB-файл</strong>;</li><li>В диалоговом окне <strong>Загрузить начальный объект групповой политики</strong> нажмите на кнопку <strong>Поиск CAB-файла</strong>;</li><li>Найдите CAB-файл с нужным начальным объектом GPO в диалоговом окне <strong>Загрузить начальный объект групповой политики</strong> и нажмите на кнопку <strong>Открыть</strong>;</li><li>В диалоговом окне загрузки начального объекта GPO вы можете ознакомиться с информацией об открытом архиве. Здесь вы можете увидеть имя начального объекта групповой политики, его GUID, а также просмотреть все настройки загружаемого CAB-файла. Для этого в поле <strong>Сравнение версий</strong> выделите источник <strong>CAB-файл начального объекта групповой политики</strong> и нажмите на кнопку <strong>Просмотреть параметры</strong>. В браузере, установленном по умолчанию, откроется удобный для чтения отчет со всеми изменениями политик. Диалоговое окно загрузки начального объекта GPO отображено ниже:</li><br/><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-08.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-08_mini_oszone.jpg alt=* width=480 height=354/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Диалоговое окно Загрузить начальный объект групповой политики</strong></p><li>По окончанию просмотра изменений и проверки загружаемого объекта нажмите на кнопку <strong>ОК</strong>. Если у вас уже существует начальный объект групповой политики с полностью совпадающим названием, в отобразившемся диалоговом окне вам нужно будет решить, стоит ли перезаписывать существующий файл.</li></ol><h2>Создание объектов групповой политики на основании начальных объектов групповой политики и сохранение отчетов</h2><br><p>Все действия, которые были подробно описаны выше, являются предварительной частью для выполнения назначения основного функционала этого компонента - создания объектов групповой политики на основании начальных объектов GPO. Созданный объект GPO из начального объекта групповой политики, позволит вам минимизировать время, которые вы затратили бы на определение параметров политик административных шаблонов. После того как у вас будут настроены начальные объекты GPO, вы можете создать на их основе новый объект из узла <strong>Объекты групповой политики</strong>, из узлов с названием подразделений или, непосредственно, из узла <strong>Начальные объекты групповой политики</strong>.</p><p>Для того чтобы создать новый объект групповой политики, основанный на начальном объекте GPO из узла <strong>Начальные объекты групповой политики</strong>, вам нужно выполнить следующие действия:</p><ol><li>В оснастке <strong>Управление групповой политикой</strong> перейти к узлу <strong>Начальные объекты групповой политики</strong>;</li><li>Выделить нужный для вас начальный объект GPO, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду <strong>Создать объект групповой политики из стартового объекта групповой политики</strong>;</li><li>В диалоговом окне <strong>Новый объект групповой политики</strong>, в поле <strong>Имя</strong>, введите название нового объекта, например: <strong>Объект на основании начального объекта GPO</strong> и нажмите на кнопку <strong>ОК</strong>. Как видно на следующей иллюстрации, в этом случае раскрывающийся список <strong>Исходный объект групповой политики</strong> не активен;</li><br/><p><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-09.jpg alt=* width=390 height=173/></p><p><strong>Рис. 9. Создание нового объекта GPO из узла Начальные объекты групповой политики</strong></p></ol><p>Если вы не хотите создавать новые объекты групповой политики из этого узла, то при создании нового объекта групповой политики, удобным способом вам нужно будет выбрать начальный объект групповой политики из раскрывающегося списка <strong>Исходный объект групповой политики</strong>. По нажатию на кнопку <strong>ОК</strong>, у созданного вами объекта групповой политики будут настроены все параметры политик, которые вы указали в начальном объекте GPO.</p><p><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-10.JPG alt=* width=387 height=258/></p><p><strong>Рис. 10. Выбор исходного объекта групповой политики</strong></p><p>Функционал оснастки <strong>Управление групповой политикой</strong> позволяет вам экспортировать отчеты начальных объектов групповых политик для последующего изучения требований к защищаемой информации, охраняемых объектов и управлением рисками. Для того чтобы распечатать отчет, вам нужно выделить начальный объект групповой политики, перейти на вкладку <strong>Параметры</strong> и из контекстного меню выбрать команду <strong>Печать</strong>. В диалоговом окне <strong>Печать</strong> выберите принтер и распечатайте отчет. Помимо этого, вы можете экспортировать отчет в HTML формат. Для этого выберите команду <strong>Сохранить отчет</strong> из контекстного меню начального объекта групповой политики в дереве консоли, из контекстного меню выбранного объекта на вкладке <strong>Содержимое</strong> узла <strong>Начальные объекты групповой политики</strong> или из контекстного меню области сведений на вкладке <strong>Параметры</strong> начального объекта групповой политики. В диалоговом окне <strong>Сохранение отчета начального объекта групповой политики</strong> выберите папку, введите название отчета и нажмите на кнопку <strong>Сохранить</strong>. Полученный отчет отображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100523055722/gpmc4-11.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100523055722/gpmc4-11_mini_oszone.jpg alt=* width=480 height=369/><br/>Увеличить рисунок</a></p><p><strong>Рис. 11. Отчет начального объекта групповой политики</strong></p><h2>Заключение</h2><br><p>Из этой статьи вы узнали о начальных (стартовых) объектах групповых политик. Рассмотрены примеры создания папки начальных объектов групповой политики с системными начальными объектами GPO, которые там расположены по умолчанию, а также создание начальных объектов групповых политик. Помимо этого вы узнали об экспорте и загрузке данных объектов GPO в CAB-файлы. Научились создавать объекты групповых политик на основании начальных объектов GPO, а также сохранять такие политики в HTML файлы для дальнейшего анализа. В следующей статье вы узнаете о моделировании групповой политики.</p> http://www.microsoft.com/rus/business/smb/blog/48/ Microsoft for Business <h2>Введение</h2><br><p>В предыдущей части статьи вы узнали о том, что такое оснастка <strong>Редактор локальной групповой политики</strong>, категориях групповой политики, а также об узлах <strong>Конфигурация компьютера</strong> и <strong>Конфигурация пользователей</strong>. Помимо этого, вы могли вкратце ознакомиться с узлами <strong>Конфигурация программ</strong> и <strong>Конфигурация Windows</strong>, которые располагаются внутри обоих основных узлов. В этой части статьи вы узнаете о последнем узле оснастки <strong>Редактор локальной групповой политики</strong> - <strong>Административные шаблоны</strong>. Административные шаблоны - это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле <strong>Административные шаблоны</strong> как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Также вы научитесь использовать фильтры представления папки административных шаблонов.</p><h2>Административные шаблоны</h2><br><p>Узел <strong>Административные шаблоны</strong> является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра. Политики в узле <strong>Административные шаблоны</strong> конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле <strong>Административные шаблоны</strong> конфигурации пользователя - HKEY_CURRENT_USER (HKCU). В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел <strong>Административные шаблоны</strong> для локального компьютера. О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.</p><p>Для системных администраторов узел <strong>Административные шаблоны</strong> предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.</p><p>Административные шаблоны операционных систем Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики. Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD. Может возникнуть следующий вопрос: В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?.</p><p>При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ - вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.</p><p>Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:</p><ul><li>HKEY_LOCAL_MACHINE\SOFTWARE\policies - конфигурация компьютера;</li><li>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies - конфигурация компьютера;</li><li>HKEY_CURRENT_USER\SOFTWARE\policies - конфигурация пользователя;</li><li>HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies - конфигурация пользователя.</li></ul><p>Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли разверните узел <strong>Административные шаблоны</strong>, после чего откройте узел, содержащий нужный для вас параметр политики, например: <strong>Конфигурация пользователя\Административные шаблоны\<a href=http://www.outsidethebox.ms/tag/explorer/ target=_blank title=Проводник - это не просто файловый менеджер. Ускорьте свою работу в облочке Windows!>Проводник</a> Windows</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/100204075344/gp2-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100204075344/gp2-01_mini_oszone.jpg alt=* width=480 height=325/><br/>Увеличить рисунок</a></p><li>Просмотрите параметры, которые расположены в этом узле. В области сведений вы можете прочитать подробную информацию об интересующем вас параметре политики. Нажмите левой кнопкой мыши на том параметре политики, конфигурацию которого вы планируете изменить, например, параметр <strong>Максимально доступный размер корзины</strong>;</li><li>Откройте диалоговое окно свойств параметра политики. Открыть это окно вы можете следующими способами:<ul><li>перейдите по ссылке <strong>Параметр политики</strong> в области сведений;</li><li>дважды щелкните левой кнопкой мыши на выбранном параметре;</li><li>в области действий выберите <strong>Дополнительные действия</strong>, а затем команду <strong>Изменить</strong>;</li><li>откройте меню <strong>Действие</strong>, а затем выберите команду <strong>Изменить</strong>.</li></ul></li><li>В окне с названием политики (в нашем случае - Максимально допустимый размер Корзины) вы можете выполнить следующие действия:<ul><li>Выбрать одну из опций, отвечающую за состояние параметра. При выборе опции <strong>Не задано</strong> значение параметра реестра не изменяется. Если будет выбран параметр <strong>Включить</strong>, в системном реестре будет выбрано значение, включающее параметр данной политики. Значение <strong>Отключить</strong>, в свою очередь, выполняет действие, отключающее условия, указанные в параметре политики;</li><li>Добавить комментарий в специально отведенном для этого текстовом поле;</li><li>При необходимости указать параметр для включенной политики. В нашем случае, в качестве параметра вам нужно указать процент объема жесткого диска, который будет использоваться (значение должно быть от 0 до 100);</li><li>В текстовом поле <strong>Справка</strong> вы можете прочитать подробную информацию о данном параметре политики.</li></ul></li><br/><p><a href=http://oszone.net/figs/u/72715/100204075344/gp2-02.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100204075344/gp2-02_mini_oszone.jpg alt=* width=480 height=440/><br/>Увеличить рисунок</a></p><li>Для того чтобы выбрать следующий или предыдущий параметр политики, нажмите на кнопку <strong>Предыдущий параметр</strong> или <strong>Следующий параметр</strong> в правой верхней части диалогового окна. После внесения изменений нажмите на кнопку <strong>ОК</strong>.</li></ol><p>В операционных системах Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> R2 диалоговое окно параметров политики административных шаблонов значительно изменилось. В предыдущих операционных системах, это диалоговое окно содержало три вкладки: <strong>Параметр</strong>, где можно было включать или отключать настройки выбранной политики; <strong>Объяснение</strong>, вкладка, предназначенная для отображения справочной информации; <strong>Комментарий</strong>, вкладка, позволяющая вводить дополнительную информацию о параметре политики. Теперь все эти настройки присутствуют только на одной вкладке, что избавляет вас от выполнения лишних действий.</p><h2>Фильтрация узла Административные шаблоны</h2><br><p>В оснастке <strong>Редактор локальной групповой политики</strong>, начиная с операционных систем Windows Vista и Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a>, появилось еще одно важное нововведение - фильтрация параметров политики административных шаблонов. Данные фильтры позволяет вам выполнять поиск определённых параметров политики на основании:</p><ul><li>управляемых, настраиваемых, а также комментируемых параметров политики;</li><li>ключевых слов заголовка параметра политики, справки или комментария;</li><li>требовании к платформе или приложениям.</li></ul><p>Для того чтобы создать фильтр, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Административные шаблоны</strong>;</li><li>Выберите команду <strong>Параметры политики</strong> одним из следующих способов:<ul><li>Нажмите правой кнопкой мыши на узле <strong>Административные шаблоны</strong> и выберите команду <strong>Параметры фильтра</strong>;</li><li>Откройте меню <strong>Действие</strong>, а затем выберите команду <strong>Параметры фильтра</strong>;</li><li>В области действий выберите <strong>Дополнительные действия</strong>, а затем команду <strong>Параметры фильтра</strong>.</li></ul></li></ol><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-03.jpg alt=* width=480 height=571/></p><h2>Фильтрация с помощью свойств</h2><br /> <p>Фильтрация с использованием свойств может быть реализована при помощи управляемых, настраиваемых параметров, а также с использованием комментариев.</p><h2>Фильтрация по управляемым параметрам</h2><br /> <p>Для административных шаблонов существуют два вида параметров политики: управляемые и неуправляемые. Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектов групповой политики. Когда пользователь или компьютер больше не попадает под область действия объекта GPO, конфигурация автоматически возвращается в состояние по умолчанию. Неуправляемые параметры политики вносят постоянные изменения в реестр. Если объект групповой политики больше не применяется, изменение параметра остается в реестре. Это изменение по-другому называется <strong>татуировкой</strong> реестра. Все политики являются постоянными и не удаляются даже в том случае, если вы выберите любой из этих видов параметров политики. У этого фильтра по управляемым параметрам есть три состояния: <strong>Любой</strong>, <strong>Да</strong>, <strong>Нет</strong>.</p><p>При указании значения <strong>Любой</strong>, в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. При указании значения <strong>Да</strong>, в редакторе будут отображаться только управляемые параметры политики административных шаблонов, а все неуправляемые параметры будут скрыты. При указании значения <strong>Нет</strong>, в редакторе будут отображаться только неуправляемые параметры политики административных шаблонов, а все управляемые параметры будут скрыты.</p><h2>Фильтрация по настроенным параметрам</h2><br /> <p>У всех параметров политики административных шаблонов может быть только одно из трех возможных состояний: <strong>Не задано</strong>, <strong>Включить</strong> и <strong>Отключить</strong>.</p><ul><li><strong>Не задано</strong> - это состояние, которое применяется по умолчанию для всех параметров политики. Параметры политики в состоянии <strong>Не задано</strong> не влияют на пользователей или компьютеры. Включение параметра политики административных шаблонов задействует параметр политики;</li><li><strong>Включить</strong> - это состояние, которое указывает на то, что действие, применяемое в данном параметре политики должно применяться к компьютеру или пользователю;</li><li><strong>Отключить</strong> - это состояние, которое указывает на то, что действие, применяемое в данном параметре политики не должно применяться к компьютеру или пользователю.</li></ul><p>У этого фильтра есть три состояния: <strong>Любой</strong>, <strong>Да</strong>, <strong>Нет</strong>.</p><p>При указании значения <strong>Любые</strong>, в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения <strong>Да</strong>, в редакторе будут отображаться только настроенные параметры политики административных шаблонов, а все ненастроенные параметры будут скрыты. При указании значения <strong>Нет</strong>, в редакторе будут отображаться только ненастроенные параметры политики административных шаблонов, а все настроенные параметры будут скрыты.</p><h2>Фильтрация по комментариям</h2><br /> <p>Поиск и фильтрация также может выполняться на основе комментариев политики. Как говорилось ранее, в параметры политики административных шаблонов можно добавлять комментарии (обычно они выполняются с целью документирования выполняемого действия).</p><p>У этого фильтра есть три состояния: <strong>Любой</strong>, <strong>Да</strong>, <strong>Нет</strong>.</p><p>При указании значения <strong>Любые</strong>, в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения <strong>Да</strong>, в редакторе будут отображаться только прокомментированные параметры политики административных шаблонов, а все параметры без комментариев будут скрыты. При указании значения <strong>Нет</strong>, в редакторе будут отображаться только параметры политики административных шаблонов, не имеющие комментариев, а все параметры с комментариями будут скрыты.</p><p>Пример использования фильтрации при помощи свойств:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Административные шаблоны</strong>;</li><li>Перейдите к узлу <strong>Панель управления\Персонализация</strong>;</li><li>Откройте параметр <strong>Запретить изменение фона рабочего стола</strong>, включите его и введите комментарий, например <strong>При помощи этого параметра пользователь не сможет изменять фон рабочего стола штатными средствами</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Перейдите к узлу <strong>Система\Варианты действий после нажатия CTRL+ALT+DEL</strong>. Откройте параметр <strong>Запретить завершение сеанса</strong>. Отключите его, в комментариях введите <strong>Включает все команды меню и кнопки, позволяющие выйти из системы</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Перейдите к узлу <strong>Общие папки</strong>. Откройте параметр <strong>Разрешить публикацию общих папок</strong>. Для этого параметра только добавьте комментарий, например: <strong>Позволяет публиковать общие папки в домене Active Directory</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Откройте диалоговое окно <strong>Параметры фильтра</strong>;</li><li>В группе <strong>Выберите тип отображаемых параметров политики</strong>, установите для фильтрации по управляемым параметрам значение <strong>Любой</strong>, для фильтрации по настроенным параметрам - значение <strong>Да</strong>, а для фильтрации по комментариям - значение <strong>Да</strong> и нажмите на кнопку <strong>ОК</strong>;</li></ol><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-04.jpg alt=* width=480 height=195/></p><p>Включите фильтрацию. Для этого:</p><ul><li>Нажмите правой кнопкой мыши на узле <strong>Административные шаблоны</strong> и выберите команду <strong>Фильтр</strong>;</li><li>Откройте меню <strong>Действие</strong>, а затем выберите команду <strong>Фильтр</strong>;</li><li>В области действий выберите <strong>Дополнительные действия</strong>, а затем команду <strong>Фильтр</strong>;</li><li>Нажмите на кнопку <strong>Фильтр</strong> на панели инструментов.</li></ul> <p>После того как фильтр будет включен, в узле <strong>Административные шаблоны</strong> отобразятся только следующие параметры политики:</p><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-05.JPG alt=* width=398 height=303/></p><p>Причем в каждом из трех узлов доступны лишь те параметры политики, которые вы настраивали в предыдущих процедурах.</p><h2>Использование фильтров по ключевым словам</h2><br /> <p>Помимо вышеперечисленных фильтров вы можете создавать фильтр на основании ключевых слов. Ключевыми словами могут быть заголовки параметров политики административных шаблонов, текст, который отображается в справочной информации к параметру политики, а также комментарии, которые вы добавляли вручную. Для того чтобы выбрать определенное свойство, вы можете снять флажки с ненужных для вас параметров.</p><p>Также вы можете управлять отображением параметров политики при помощи одного из следующих фильтров:</p><ul><li><strong>Любой</strong> - это фильтр, который содержит любое слово, находящееся в текстовом поле <strong>Фильтры по словам</strong>.</li><li><strong>Все</strong> - это фильтр, который содержит все слова, находящиеся в текстовом поле <strong>Фильтры по словам</strong>.</li><li><strong>Точное</strong> - это фильтр, который содержит точное соответствие слов, находящихся в текстовом поле <strong>Фильтры по словам</strong>.</li></ul><p>Пример использования фильтрации по ключевым словам:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Административные шаблоны</strong>;</li><li>Откройте диалоговое окно <strong>Параметры фильтра</strong>;</li><li>Установите флажок в группе <strong>Включить фильтры по ключевым словам</strong>;</li><li>В текстовом поле <strong>Фильтры по словам</strong> введите следующее: <strong>Максимально, Directory, 4294967200</strong> и выберите команду <strong>Все</strong> из раскрывающегося списка, расположенного справа от текстового поля;</li><li>Снимите флажок с опции <strong>Заголовок параметра политики</strong> и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-06.JPG alt=* width=480 height=93/></p><li>Примените фильтр.</li></ol><p><a href=http://oszone.net/figs/u/72715/100204075344/gp2-07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100204075344/gp2-07_mini_oszone.jpg alt=* width=480 height=325/><br/>Увеличить рисунок</a></p><p>Как видно на следующем скриншоте, фильтр отобразил только те параметры, в справке или комментарии которых были все ключевые слова. В этом случае, эти слова встречаются в справочной информации к параметру <strong>Установить интервал повторного поиска контроллера домена</strong>.</p><p>Если в параметрах этого фильтра выбрать <strong>Любое</strong> значение, то в дереве консоли отобразится значительно больше узлов, содержащих параметры с текущими ключевыми словами:</p><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-08.JPG alt=* width=360 height=590/></p><h2>Фильтры по требованию</h2><br /> <p>В оснастке <strong>Редактор локальной групповой политики</strong> существует еще третий способ фильтрации параметров политики - <strong>Фильтрация по требованию</strong>. При помощи этого способа фильтрации, вы можете отобразить параметры, соответствующие всем выбранным платформам или отобразить параметры, соответствующие любым из выбранных платформ. По требованию <strong>Включить параметры, соответствующие любым из выбранных платформ</strong> будут отображаться параметры политики административных шаблонов, которые соответствуют любому из элементов, выбранных в управляемом списке. Указав требование <strong>Включить параметры, соответствующие всем выбранным платформам</strong>, фильтр отобразит только те параметры, которые соответствуют всем выбранным элементам одновременно.</p><p>Пример использования фильтрации по требованию:</p> <ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Административные шаблоны</strong>;</li><li>Откройте диалоговое окно <strong>Параметры фильтра</strong>;</li><li>Установите флажок в группе <strong>Включить фильтры по требованиям</strong>;</li><li>В раскрывающемся списке <strong>Включить параметры, соответствующие всем выбранным платформам</strong>, и установите флажки на значениях <strong>Семейство <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a> &gt; Windows 7</strong> и <strong>Семейство <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a> &gt; <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a></strong>, после чего нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-09.JPG alt=* width=480 height=225/></p><li>Примените фильтр.</li></ol><p><a href=http://oszone.net/figs/u/72715/100204075344/gp2-10.JPG target=_blank><img src=http://oszone.net/figs/u/72715/100204075344/gp2-10_mini_oszone.JPG alt=* width=480 height=338/><br/>Увеличить рисунок</a></p><p>Фильтр отобразил параметры, операционная система которых не должна быть старше Windows Vista.</p><h2>Добавление и удаление шаблонов</h2><br><p>Кроме всех вышеперечисленных возможностей, оснастка <strong>Редактор локальной групповой политики</strong> позволяет добавлять файлы классических административных шаблонов (<strong>*.adm</strong>-файлы, которые не используют формат XML). В операционных системах, начиная с ОС Windows Vista и Windows Server 2008, по умолчанию шаблоны с расширением <strong>.adm</strong> не используются. Но редактор локальной групповой политики все еще может распознавать такие шаблоны, и при необходимости вы их можете добавить в узел <strong>Классические административные шаблоны</strong>. Для того чтобы добавить такой шаблон, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Редактор локальной групповой политики</strong>;</li><li>В дереве консоли перейдите к узлу <strong>Административные шаблоны</strong>;</li><li>Выберите команду <strong>Добавление и удаление шаблонов</strong> одним из следующих способов:<ul><li>Нажмите правой кнопкой мыши на узле <strong>Административные шаблоны</strong> и выберите команду <strong>Добавление и удаление шаблонов</strong>;</li><li>Откройте меню <strong>Действие</strong>, а затем выберите команду <strong>Добавление и удаление шаблонов</strong>;</li><li>В области действий выберите <strong>Дополнительные действия</strong>, а затем команду <strong>Добавление и удаление шаблонов</strong>.</li></ul></li><br/><p><img src=http://oszone.net/figs/u/72715/100204075344/gp2-11.jpg alt=* width=448 height=282/></p><li>Для добавления шаблона нажмите на кнопку <strong>Добавить</strong>. В диалоговом окне <strong>Шаблоны политики</strong>, передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. В диалоговом окне будут выведены все файлы с расширением <strong>*.adm</strong>. После того как нужное изображение будет найдено, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку <strong>Открыть</strong>.</li><li>Для удаления шаблона в диалоговом окне <strong>Добавление и удаление шаблонов</strong>, выберите шаблон, который хотите удалить и нажмите на кнопку <strong>Удалить</strong>.</li><br/><h2>Заключение</h2><br><p>В этой статье рассказывается об узле <strong>Административные шаблоны</strong> оснастки <strong>Редактор локальной групповой политики</strong>. При помощи этой статьи вы узнали, как можно использовать этот узел, изменять параметры политики, а также фильтровать параметры политики, отображаемые в узле административных шаблонов тремя методами. Также был описан метод добавления устаревших файлов шаблонов административных политик в оснастку <strong>Редактор локальной групповой политики</strong>. О методах создания собственных шаблонов административных политик будет рассказано в одной из следующих статей.</p></ol> http://www.microsoft.com/rus/business/smb/blog/47/ Microsoft for Business <h2>Описание доклада</h2><br /> <p> - Плюсы и минусы SharePoint Foundation;</p><p> - Плюсы и минусы SharePoint Standart или Enterprise; </p><p> - Подготовка почвы для развётывания SharePoint 2010; </p><p> - Развёртывание SharePoint 2010 Foudation на Windows 7; </p><p> - Развёртывание SharePoint 2010 Standart StandAlone на Windows 2008 R2; </p><p> - Развёртывание SharePoint 2010 Standart ферма на Windows 2008 R2;</p> <div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL /><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId /><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl value=http://www.techdays.in.ua/get.aspx?MID=d2d37e73-78b5-436f-aa58-ad9e27a3adc8 /><div id=silverlightControlHost style='height:400px;width:460px'><div id=silverlightPlayer><object data=data:application/x-silverlight-2, type=application/x-silverlight-2style='height:380px;width:460px' ><param name=source value=http://www.techdays.in.ua/TechDaysPlayer.xap /><param name=initParams value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=d2d37e73-78b5-436f-aa58-ad9e27a3adc8&IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3631,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=d2d37e73-78b5-436f-aa58-ad9e27a3adc8&width={0}&height={1} /><param name=onError value=onSilverlightError /><param name=background value=white /><param name=minRuntimeVersion value=3.0.40624.0 /><param name=autoUpgrade value=true /><a href=http://go.microsoft.com/fwlink/?LinkID=124807 style=text-decoration: none;> <img src='http://www.techdays.in.ua/App_Themes/9-9/images/zaglushka.png' alt=Get Microsoft Silverlight style=border-style: none /> </a></object></div><div id=MediaPlayer style=display: none><OBJECT id=Player type=application/x-ms-wmp style='height:380px;width:460px'> <PARAM name=URL value=http://www.techdays.in.ua/get.aspx?MID=d2d37e73-78b5-436f-aa58-ad9e27a3adc8&IsSilverLight=false /><PARAM name=AutoStart value=False><PARAM name=stretchToFit value=true><PARAM name=SendPlayStateChangeEvents value=true></OBJECT></div> <iframe style='visibility: hidden; height: 0; width: 0; border: 0px'></iframe><div class=PlayerSwitcher style=text-align:center; font-size: 14px; padding-bottom: 10px;><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a id=silverlightLink href=javascript: onclick=ChangeLink(true) style=display:none>Watch using Silverlight</a><a id=WindowsMediaLink href=javascript: onclick=ChangeLink(false)>Watch using Windows Media Player</a></div></div></div></div> http://www.microsoft.com/rus/business/smb/blog/46/ Microsoft for Business <p>Несмотря на богатый функционал групповых политик, неосведомленной человек порой может оказаться в затруднительной ситуации при попытке настройки требуемых конфигураций. Так как параметров политики тысячи, бывает сложно в короткий промежуток времени найти нужную политику. Поэтому, специально для компьютеров, установленных в компьютерном классе, для которых необходимо обеспечить централизованную настройку общесистемных параметров и конфигурацию учетных записей пользователей, а также спланировать обновления программных продуктов и защиту системного раздела, корпорация Microsoft разработала программный продукт, который называется Windows SteadyState. Помимо этого Вы можете использовать Windows SteadyState вместе с доменными службами Active Directory, что обеспечит централизованное управление учетными данными, защитой пользовательских компьютеров, а также централизованное развертывание программного обеспечения на все ученические компьютеры. </p><p>Несмотря на все свои преимущества, у продукта SteadyState есть один недостаток. Данный продукт поддерживает только операционные системы Windows XP и Windows Vista, то есть, если в вашем компьютерном классе на ученических компьютерах развернуты операционные системы <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, то для управления конфигурацией компьютеров и пользовательских учетных записей Вам нужно будет воспользоваться функционалом групповых политик. Далее вы узнаете о настройке компьютеров и учетных записей ваших пользователей, используя функционал программы Windows SteadyState.</p><h2>Установка Windows SteadyState</h2><br><p>Перед тем как устанавливать данный продукт, желательно переустановить операционные системы на ваших ученических компьютерах. Наилучшим способом переустановки будет полное форматирование системных разделов и установка операционной системы на чистый раздел. После того как у вас будут чистые системы, выполните настройку разрешения экранов, удалите программное обеспечение, которое должно быть установлено только для определенных потоков учеников, загрузите последние обновления из серверов Windows Update или из WSUS-серверов, если они развернуты в вашей инфраструктуре, а также выполните полную дефрагментацию системных разделов. Для учетной записи администратора установите сложный пароль, а также загрузите и установите антивирусное программное обеспечение с последними сигнатурами.</p><p><img src=http://oszone.net/figs/u/72715/110124120658/ss1-02.jpg alt=* width=480 height=377/></p><p>После того как вы выполнили все предварительные задачи, вы можете установить Windows SteadyState. Стоит обратить внимание на то, что основным требованием для установки данного продукта является наличие легитимной операционной системы, установленной на ваши ученические компьютеры. Windows SteadyState не поставляется вместе с клиентской или серверной операционной системой Windows. То есть для установки данного продукта, вам нужно предварительно загрузить установочный файл из Центра загрузки Microsoft. После того как файл будет загружен, для установки Windows Steady State выполните следующие действия:</p><ol><li>Выполните вход в систему ученического компьютера под учетной записью администратора и запустите установочный файл SteadyState.msi;</li><li>На первой странице мастера установки Windows SteadyState прочитайте лицензионное соглашение, установите переключатель на опцию <strong>Я принимаю условия лицензионного соглашения</strong> и нажмите на кнопку <strong>Далее</strong>;</li><li>Как уже было указано ранее, для установки данного продукта основным требованием является подтверждение подлинности вашей операционной системы. На странице <strong>Проверка Microsoft Windows</strong> для подтверждения легитимности системы, нажмите на кнопку <strong>Проверить</strong>. Если ваша система удовлетворяет этому требованию, то мастер установки перейдет непосредственно к процессу установки Windows SteadyState;</li><li>По окончанию установки мастер предложит Вам установить <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Windows Live</a> Toolbar, позволяющий быстро выполнять поиск на компьютере, осуществлять мгновенный просмотр разнообразной полезной информации, а также защищаться от вредоносных программ. После того как вы сделаете выбор, для завершения процесса установки данного продукта нажмите на кнопку <strong>Готово</strong>.</li></ol><h2>Управление настройками компьютеров и учетных записей учеников средствами Windows SteadyState</h2><br><p>После установки Windows SteadyState вы сможете на рабочем столе найти ярлык <strong>Windows SteadyState</strong>, который предназначен для открытия программы. Как видно на следующей иллюстрации, в программе Windows SteadyState контрольной точкой доступа к конфигурированию настроек компьютера и пользователя является главное окно программы. Это окно можно условно разделить на две части, а именно <strong>Глобальные параметры компьютера</strong>, которые можно использовать для установки общесистемных ограничений, настройки расписания обновлений и защиты системного раздела, а также <strong>Параметры пользователей</strong>, которые предназначены для установки ограничений для конкретных пользователей.</p><p><a href=http://oszone.net/figs/u/72715/110124120658/ss1-06.jpg target=_blank><img src=http://oszone.net/figs/u/72715/110124120658/ss1-06_mini_oszone.jpg alt=* width=480 height=349/><br/>Увеличить рисунок</a></p><p>В состав <strong>Установки ограничений компьютера</strong> входят параметры конфиденциальности, параметры безопасности и прочие параметры. <strong>Параметры конфиденциальности</strong> позволяют Вам скрыть на экране входа в систему имя последнего пользователя, который работал за этим компьютером. Помимо этого Вы можете запретить отображение и использование заблокированных или перемещаемых пользовательских профилей в экране входа в систему, а также запретить кэшировать копии указанных выше профилей, которые ранее входили в систему для экономии свободного пространства и повышения безопасности. При помощи <strong>параметров безопасности</strong> вы можете защитить пользовательский компьютер от возможных повреждений, выполненных вашими учениками. В данной группе доступно семь различных параметров, отвечающих за запрещения сохранения паролей, папок и файлов на диске С, записи на внешние накопители, удаление параметров завершения работы и выключения компьютера из экрана приветствия, а также запрещение открытия документов Microsoft Office из браузера. Группа <strong>Другие параметры</strong> предназначена для отображения списка имен пользователей на экране приветствия при каждом запуске операционной системы <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. Несмотря на то, что для локального использования данную опцию лучше оставить, в случае если ваш компьютер находится в домене Active Directory, эта опция не будет активна по умолчанию.</p><p><a href=http://oszone.net/figs/u/72715/110124120658/ss1-08.jpg target=_blank><img src=http://oszone.net/figs/u/72715/110124120658/ss1-08_mini_oszone.jpg alt=* width=480 height=349/><br/>Увеличить рисунок</a></p><p>Всегда стоит обращать внимание на поддержание ваших операционных систем и программного обеспечения в обновленном состоянии, что обеспечивает более высокий уровень стабильности. Как вы видите на иллюстрации, раздел <strong>Планирование обновлений программного обеспечения</strong> позволяет Вам установить время и частоту установки автоматических обновлений, а также обновлений для программ безопасности. Несмотря на то, что при помощи SteadyState устанавливается большинство обновлений, все-таки рекомендуется периодически просматривать доступные обновления в центре загрузки обновлений Windows Update, так как рекомендуемые и необязательные обновления устанавливаться не будут. Стоит обратить внимание на то, что если у вас развернут сервер обновлений WSUS, то Windows SteadyState будет загружать обновления непосредственно с вашего WSUS-сервера.</p><p>Ученики постоянно стараются как можно серьезнее засорить жесткий диск, создавая множество ненужных файлов, загружая какие-то программы или различные файлы из Интернета, причем, после себя не возвращая все в исходное состояние. Windows SteadyState позволяет Вам защитить данные и системные параметры от постоянного изменения. Для этого в категории <strong>Защита жесткого диска</strong> выберите уровень защиты диска и установите время для очистки изменений. При включении средств защиты диска операционная система оповестит вас о том, что будет создан большой файл кэша, на что может потребоваться некоторое время. При включении защиты системного диска все изменения, внесенные на жесткий диск и в программные файлы, очищаются, и через указанный вами интервал времени очищается файл кэша. Размер файла кэша занимает 50% свободного пространства на диске, но в любой момент вы можете изменить его размер.</p><p>Помимо общесистемных параметров программа Windows SteadyState позволяет Вам управлять конфигурацией всех пользовательских учетных записей. Поскольку пользователями компьютера являются учащиеся, то им нужно иметь ограниченный доступ к Интернету и ресурсам системы, причем целесообразно будет создание отдельной учетной записи для конкретных категорий учащихся, то есть следует создать учетные записи для младших школьников, среднего звена и старшеклассников. Для создания совместно используемой учетной записи следует в главном окне программы перейти по ссылке <strong>Добавить нового пользователя</strong>, указать имя учетной записи, задать для нее пароль, местоположение и соответствующую картинку. По нажатию на кнопку <strong>ОК</strong> откроется окно параметров созданной вами учетной записи пользователя, в которой указывается время выхода пользователя из системы, ограничение на элементы меню <strong>Пуск</strong>, доступа к командной строке, системному реестру и прочим служебным приложениям, ограничения браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a> и продуктов Microsoft Office, а также программы, доступ к которым будет заблокирован. Стоит обратить внимание, что Windows SteadyState предоставляет эффективный метод ограничения доступа к программному обеспечению для небольшого количества компьютеров, но если вам необходимо управлять ограничением доступа к программам для большого количества компьютеров, то целесообразно воспользоваться функционалом групповых политик. На следующей иллюстрации отображена вкладка Блокировка программ учетной записи пользователя:</p><p><a href=http://oszone.net/figs/u/72715/110124120658/ss1-09.jpg target=_blank><img src=http://oszone.net/figs/u/72715/110124120658/ss1-09_mini_oszone.jpg alt=* width=480 height=349/><br/>Увеличить рисунок</a></p><p>У внимательного читателя может возникнуть следующий вопрос: как же связаны между собой доменные службы Active Directory и программа Windows SteadyState? Многим известно, что доменные службы Active Directory предоставляют центральный репозиторий для управления идентификацией в организации, то есть проверяют подлинность и авторизацию в сети, предоставляют иерархическое представление сети, а также преимущества в обеспечении контроля доступа к ресурсам с помощью определённого набора учетных данных. Так как ученики могут находиться каждый раз за различными компьютерами, при входе в систему им должен предоставляться доступ непосредственно к своим учетным данным. Таким образом, учетные записи пользователей, которые были созданы в Active Directory, могут использоваться в Windows SteadyState так же эффективно, как и учетные записи, созданные в рабочих группах. Для этих целей отлично подходят перемещаемые профили пользователей, которые будут храниться на сервере в сети и загружаться при каждом входе пользователя в систему.</p><p>Вы можете управлять настройками программы непосредственно при помощи групповых политик, предварительно поместив административный шаблон SCTSettings.adm в созданный вами объект групповой политики. Например, одной из ключевых возможностей, которую предоставляет этот шаблон, является установка таймеров принудительного выхода из системы, которую, при желании, вы можете реализовать при помощи предпочитаемых групповых политик.</p><p>Соответственно, если вы хотите обеспечить стабильную работу компьютеров вашего компьютерного класса, принудительно задав ограничения на уровне компьютеров и конечных пользователей, рекомендуется использовать функционал групповых политик. Несмотря на огромное количество параметров групповых политик, Вы можете отконфигурировать практически любой доступный в операционной системе Windows параметр. Для управления настройками компьютеров, установленных в компьютерных классах учебных заведений можно воспользоваться программой Windows SteadyState, в которой скомбинированы важнейшие параметры групповых политик, которые можно использовать для обеспечения стабильного состояния системы после каждого урока с учениками разной возрастной категории и умением работы с компьютерами и продуктами компании Microsoft.</p> http://www.microsoft.com/rus/business/smb/blog/45/ Microsoft for Business <h2>Введение</h2><br><p>По каким-то причинам, так исторически сложилось, что многим организациям трудно найти удачное соотношение между защитой передачи своих данных и покрытием расходов, которые будут затрачены на поддержку такой защиты. К сожалению, чаще всего, только администраторы понимают, что обеспечение и поддержка безопасной инфраструктуры может повлечь расходы, превышающие затраты на сетевое оборудование. Все знают, что в свое время всемирная сеть Интернет была создана для открытого общения между удаленными компьютерами. Также все знают, что за последнее время много чего изменилось и сейчас Интернет считается довольно таки опасной сетевой средой. В сфере безопасности большинство сценариев нацелены на предотвращение атак злоумышленников, блуждающих по просторам Интернета. Компьютеры, которые имеют доступ в сеть Интернет нужно должным образом защищать от различных злоумышленников и вредоносных программ, которые несанкционированным образом пытаются получить доступ к данным и ресурсам пользовательских компьютеров. </p><p>Сейчас брандмауэры, расположенные на клиентских компьютерах и серверах, межсетевые экраны, расположенные на периметре сети в демилитаризованной зоне, безопасные маршрутизаторы и строгие политики проверки подлинности для удаленных подключений практически безупречно выполняют свою работу. Возможно, кто-то из вас удивится, но укрепление периметра сети вашей организации является лишь частью обеспечения безопасности вашей организации, так как все указанные выше средства никак не могут вас защитить от атак, производимых внутри компании. Порой частные интрасети могут содержать как своего рода злоумышленников, так и вредоносные программы, из-за работы которых ваша организация может потерять значительно больше информации, так как такие атаки смоделированы внутренними сотрудниками вашей организации, причем, брандмауэры и прочие пограничные устройства никак не смогут защитить вашу организацию от таких угроз. Корпорация Microsoft предоставляет технологию IPSec, встроенную в операционную систему Windows, которая позволяет защищать сеть вашей организации, как от внешних, так и от возможных внутренних атак.</p><p>Изначально, стандарты протокола TCP/IP не были предназначены для защиты IP-пакетов. Соответственно, по умолчанию пакеты IP можно легко интерпретировать, изменять и воспроизводить. Без какой-либо защиты данных пакетов IP, как общественные, так и частные сети оказываются уязвимыми для несанкционированного наблюдения и доступа. Протокол Internet Protocol Security (IPSec) представляет собой систему открытых стандартов, которые предложила Рабочая группа инженеров Интернета (IETF - Internet Engineering Task Force) IPSec, обеспечивающие защиту сетей, используя для этого криптографические протоколы безопасности и динамическое управление ключами. IPSec использует модель сквозной безопасности с установкой доверия и безопасности между исходным и конечным IP-адресами. IPSec позволяет защищать IP-трафик как от узла к узлу в том случае, когда два узла IPSec обмениваются данными, так и посреди сетевого пути в том случае, когда IPSec маршрутизаторы обеспечивают защиту трафика из Интернета. О защищаемом трафике должны знать только два компьютера - отправляющий и принимающий. Помимо этого, протокол IPSec можно использовать для обеспечения защиты всех коммуникаций между всеми сторонами при помощи проверки подлинности и шифрования без необходимости изменения каких-либо приложений или протоколов. То есть, если вам необходимо убедиться в том, что на выходе сообщения не изменяется и злоумышленник не может их прочитать, IPSec обеспечивает превосходное решения для обеспечения этих целей. Стоит запомнить, что протокол IPSec не является компонентом брандмауэра операционной системы. Но, несмотря на это, для снижения нагрузки на администраторов IPSec использует администрирование на основе политик. Данный протокол позволяет централизовано управлять политиками, предназначенными для разрешения, блокировки или назначения безопасности, для одноадресного IP-трафика, на основе конкретных адресов, протоколов и портов. Начиная с этой статьи, я расскажу вам об использовании, настройке и сценариях применения политики IPSec.</p><h2>Возможности протокола IPSec</h2><br><p>Протокол IPSec операционной системы Windows предоставляет следующие возможности:</p><ul><li><strong>Прозрачность IPSec для конечных пользователей и приложений</strong>. Протокол IPSec интегрирован на уровне Интернета (сетевом уровне, 3), обеспечивая безопасность для всех протоколов, основанных на IP пакетах TCP/IP. Соответственно, вам не нужны отдельные правила для какого-то конкретного приложения, использующего протокол TCP/IP. В свою очередь, такое приложение, использующее TCP/IP, передает данные по IP/протоколу, которое уже защищено IPSec. Также важной особенностью является то, что благодаря прозрачному использованию данного протокола, вам не нужно переобучать конечных пользователей;</li><li><strong>Защита от изменения данных</strong>. Протокол IPSec применяет ключи шифрования, предназначенные для создания криптографической контрольной суммы для каждого пакета IP, которые используются только отправляющим и принимающим компьютерами. Так как изменение данных в пакете IP изменяют его контрольную сумму, принимающий компьютер видит, что во время передачи пакет был изменен/li&gt;</li><li><strong>Глубокая защита протоколов и приложений верхнего уровня</strong>. IPSec защищает протоколы, службы и приложения верхнего уровня. При включенном протоколе IPSec, для доступа к приложению или службе работающей на сервере, используются начальные пакеты, то есть, пакеты не будут переданы приложению или службе, пока не будет создано и настроено определенное правило IPSec;</li><li><strong>Защита от атак с подменой идентификации, атак на пароли, а также атак на приложения</strong>. Протокол IPSec позволяет выполнять обмен и проверку идентификации без раскрытия сведений о паролях и приложениях, для интерпретации атакующим. Проверка подлинности применяется для установки доверительных отношений между взаимодействующими системами. После того как подлинность будет установлена, IPSec применяет ключи шифрования, используемые только отправляющим и принимающим компьютерами, для создания криптографической контрольной суммы каждого пакета IP;</li><li><strong>Ограничение доступа к серверам</strong>. При помощи политики IPSec, вы можете настроить сервер только на прием трафика определенного типа. Например, вы можете настроить свой почтовый сервер принимать от клиентских компьютеров только безопасный почтовый трафик, причем, весь остальной трафик от клиентских компьютеров будет отвергаться;</li><li><strong>Защита от атак на службу</strong>. IPSec использует методологию фильтрации для определения состояния обмена данными пакетов IP по диапазонам IP- адресов, протоколам IP и определенным TCP и UDP портам;</li><li><strong>Настраиваемые конфигурации безопасности</strong>. У вас есть возможность создания и настройки политик IPSec согласно требованиям безопасности приложений, компьютеров, групп компьютеров, домена, сайта или глобальной организации. Также можно настраивать IPSec для использования широкого спектра сценариев, включая пакетную фильтрацию, защиту узла трафика хоста по указанному пути, защиту трафика на серверы, туннельного протокола уровня 2 (Layer Two Tunneling Protocol, L2TP) подключений виртуальной частной сети (Virtual Private Network, VPN) и многое другое;</li><li><strong>Применение IPSec в NAP</strong>. В случае использования NAP, IPSec состоит из Центра регистрации работоспособности (Health Registration Authority, HRA) и стороны, использующей IPSec, то есть клиентов. HRA представляет собой компьютер, работающий под операционной системой Windows Server 2008с ролью Internet Information Services (IIS). HTA получает сертификаты работоспособности X509 на основе центра сертификации Windows от имени клиентов в том случае, когда сервер политики работоспособности NAP определяет, что клиенты являются совместимыми.</li><li><strong>Централизованное администрирование политик IPSec средствами Active Directory</strong>. В <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> протокол IPSec можно настраивать через групповую политику, политику IP-безопасности или при помощи правил безопасности подключений. Данная возможность позволяет применять политики IPSec на домен, сайт или определенное подразделение, устраняя административные издержки на настройку каждого компьютера вашей организации;</li><li><strong>Поддержка IETF стандартов</strong>. Как говорилось ранее, для безопасных коммуникаций IPSec поддерживает стандарты IETF, предоставляя администраторам извлечь для себя пользу использования собственных, альтернативных технологий IP-безопасности, разработанных на основе открытого стандарта;</li></ul><p>Также, у данного протокола, начиная с операционной системы Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a> присущи несколько значительных улучшений. Прежде всего, теперь правила безопасности подключений позволяют реализовать IPSec для сетевых коммуникаций с проверкой подлинности. Начиная с операционной системы <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a>, правила безопасности подключений теперь реализованы в виде опции, которые можно внедрять с помощью групповой политики в брандмауэре Windows в режиме повышенной безопасности.</p><h2>Заголовки IPSec</h2><br><p>В операционных системах Windows протокол IPSec защищает данные, которые передаются по сети, инкапсулируя оригинальные полезные данные с заголовком IPSec режима транспорта (Authentication Header, AH или Encapsulating Security Payload, ESP) или заголовка IPSec и дополнительного заголовка IP для режима туннелирования. Как вы уже знаете, протокол IPSec обычно используется для преобразования UDP и TCP портов, которые используются приложениями и службами операционной системы в один поток безопасного трафика в обход незащищенной сети. Каждая политика безопасности IPSec состоит из одного или нескольких правил IPSec, определяющих защиту трафика IP. В свою очередь, каждое правило IPSec связано с одним списком фильтров IP и одним действием фильтра. Список фильтров IP содержит набор из одного или нескольких фильтров IP, которые захватывают трафик для политики IPSec. Фильтры IP определяют начальные и конечные адреса, диапазон адресов, имя компьютера, TCP или UDP порт, или тип сервера. Если трафик, добавляемый на компьютер с назначенной политикой, соответствует фильтру в одном из заданных правил политики, то выполняется действие фильтра, которое назначено для текущего правила. В зависимости от того, какой протокол используется, вы можете шифровать весь исходный пакет, только инкапсулированные полезные данные или оба пакета. Оба протокола описаны ниже:</p><ul><li><strong>AH</strong>. Заголовок AH обеспечивает проверку подлинности, целостность данных и защиту от повторов для всего пакета, за исключением полей в заголовке IP, для которых разрешено изменение с помощью вычисления хеша с ключом для каждого пакета. При использовании AH в хеш включается весь пакет и заголовок. Некоторые поля, для которых разрешено изменение на пути следования, исключаются. Работа службы защиты повторения пакетов обеспечивается включением порядкового номера каждого пакета. Этот заголовок обеспечивает конфиденциальность данных без их шифрования. То есть, данные доступны для чтения, но защищены от изменений. На следующей иллюстрации изображена структура данного заголовка:</li><br/><p><img src=http://oszone.net/figs/u/72715/101229161532/IPSec-01.JPG alt=* width=480 height=301/></p><p><strong>Рис. 1. Структура заголовка AH</strong></p><p>Как видно на предыдущей иллюстрации, данный заголовок включает в себя следующие поля:</p><p><strong>Следующий заголовок</strong>. Однобайтовое поле, которое используется для определения следующего заголовка полезных данных.</p><p><strong>Длина полезной нагрузки</strong>. Однобайтовое поле, указывающее количество байт в предыдущем поле длины полезной нагрузки AH в 32-битовых (четырехбайтных) блоках, не считая первые два блока.</p><p><strong>Зарезервировано</strong>. Двухбайтовое поле, которое является зарезервированным и должно равняться 0. Зарезервированное поле включается в поле проверки подлинности данных.</p><p><strong>Индекс параметра безопасности</strong>. Четырехбайтовое поле, которое определяется в том случае, если для текущей датаграммы в IP-заголовке, в сочетании с полем адреса назначения и преобразования (АH) используется сопоставление безопасности (SA).</p><p><strong>Порядковый номер</strong>. Четырехбайтовое поле, содержащее счетчик, который начинается с 0 в случае создания сопоставления безопасности. Первый пакет сопоставления безопасности имеет порядковый номер 1. Поле <strong>Порядковый номер</strong> обеспечивает защиту от повтора, поскольку его значение защищает значение проверки подлинности (ICV). Когда порядковый номер достигает максимального значения (4,294,967,295 или 232 - 1), новые сопоставления безопасности IPsec устанавливаются для поддержания порядкового номера от повтора SA. Если устанавливаются новые сопоставления безопасности IPSec, то порядковый номер для сопоставления безопасности опять начинается с 0.</p><p><strong>Проверка подлинности данных</strong>. Поле переменной длины, которое содержит ICV расчета отправителя. В Windows Server 2008 это код проверки подлинности на основе хеша сообщения (hash-based message authentication code, HMAC) Digest 5 (MD5) или HMAC Secure Hash Algorithm 1 (SHA1) хеш-значения. Поле Проверка подлинности обеспечивает проверку подлинности источника данных и служб безопасности целостности данных. Размер поля Проверка подлинности для HMAC-MD5 и HMAC SHA1 составляет 12 байт (96 бит). Для алгоритма произвольных ICV размер поля проверки данных подлинности должно быть целым числом 32-разрядных (4-байтных) блоков.</p><li><strong>ESP</strong>. Заголовок Encapsulating Security Payload (ESP) является комбинацией заголовка и индекса завершения, который обеспечивает проверку подлинности, целостности, защиту от повторов и параметры конфиденциальности только полезных данных IP с помощью вычисления и включения хеша с ключом для каждого пакета. При использовании ESP в хеш включаются только заголовок, трейлер и полезные данные ESP, причем хеширование не применяется для защиты заголовка IP. На следующей иллюстрации изображена структура ESP:</li><br/><p><img src=http://oszone.net/figs/u/72715/101229161532/IPSec-02.JPG alt=* width=477 height=335/></p><p><strong>Рис. 2. Структура заголовка ESP</strong></p><p>Заголовок ESP включает в себя следующие поля, причем, основными считаются только первые два:</p><p><strong>Индекс параметра безопасности</strong>. Четырехбайтовое поле, определяемое в сочетании с полем адреса назначения IP-заголовка и ESP, который считается специфическим SA для данной датаграммы.</p><p><strong>Порядковый номер</strong>. Четырехбайтовое поле, которое содержит то же поле, что и у поля Порядковый номер заголовка AH.</p><p><strong>Заполнение</strong>. Поле переменной длины (от 0 до 255 байт), которое используется для заполнения полезных данных соответствующей длины, в зависимости от используемого алгоритма шифрования, выравнивания части ESP пакета по 4 байта или умышленного скрытия длины зашифрованных полезных данных.</p><p><strong>Длина заполнения</strong>. Поле, длиной в один байт, которое задает количество байтов в поле заполнения.</p><p><strong>Следующий заголовок</strong>. Однобайтовое поле, которое используется для определения следующего заголовка в полезных данных. Данное поле использует те же значения, что и поле <strong>Протокол</strong> заголовка IP.</p><p><strong>Проверка подлинности данных</strong>. Поле переменной длины, которое содержит расчет ICV отправителя, то есть значение HMAC MD5 или HMAC SHA1.</p><p>Так как используется уникальный алгоритм ICV, который согласовывается до отправки данных заголовка ESP и индекса завершения, то каждый одноранговый узел знает размер части данных проверки подлинности части индекса завершения ESP и может определить расположение окончания ESP-инкапсулирования полезных данных.</p></ul><h2>Компоненты IPSec</h2><br><p>Протокол IPSec состоит из трех основных компонентов: службы агента политики IPSec, обмена ключами в Интернете, а также драйвера IPSec. Данные компоненты подробно расписаны в следующих подразделах.</p><h2>Агент политики IPSec</h2><br /> <p>Данный компонент предназначен для загрузки сведений политик IPSec, их передачи в другие компоненты IPSec, а также для обеспечения работы служб безопасности которых необходимы данные сведения. По сути, агент политики IPSec представляет собой службу, которая расположена на каждом компьютере с операционной системой Windows и в соответствующей оснастке, отображается в списке служб как <strong>Служба IPSec</strong>, и выполняет следующие действия:</p><ul><li>Загружает назначенную политику IPSec из Active Directory в том случае, если данный компьютер является членом домена или, в том случае, если компьютер не является членом домена - из локального системного реестра;</li><li>Опрашивает о наличии изменений в конфигурации самой политики;</li><li>Отправляет сведения назначенной политики IPSec в драйвер IPSec.</li></ul><p>Стоит обратить внимание, что если компьютер является членом домена, то загрузка политики IPSec выполняется непосредственно при загрузке операционной системы через интерфейс опроса Winlogon, а также через интервал, который задается в политике IPSec.</p><p>Служба политики IPSec показана на следующей иллюстрации.</p><br/><p><a href=http://oszone.net/figs/u/72715/101229161532/IPSec-03.JPG target=_blank><img src=http://oszone.net/figs/u/72715/101229161532/IPSec-03_mini_oszone.JPG alt=* width=480 height=461/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Принцип работы агента политики IPSec</strong></p><h2>Обмен ключами в Интернете</h2><br /> <p>Как уже было сказано ранее, перед началом безопасного обмена данными, между двумя компьютерами должно быть усыновлено безопасное подключение. Для создания соглашения между двумя компьютерами существует метод сопоставления безопасности и разрешения обмена ключами, который называется обменом ключами в Интернете (Internet Key <a href=http://technet.microsoft.com/ru-ru/exchange/default.aspx target=_blank title=Узнайте больше об Exchange Server>Exchange</a>, IKE). Данный метод централизует управление сопоставлением безопасности, тем самым сокращая время подключения, а также создаёт общие секретные ключи, которые используются для защиты и управления данными. Сопоставление безопасности представляет собой сочетание согласованного ключа, протокола безопасности, а также индекса параметров безопасности, в совокупности определяющих механизмы безопасности, которые используются для защиты данных, передаваемых между сторонами соединения. Этот процесс не только защищает обмен данными между двумя компьютерами, но также защищает и удаленные компьютеры, которые запрашивают безопасный доступ к внутренней сети организации. Индекс параметра безопасности (Security Parameters Index, SPI) является уникальным определяющим значением в сопоставлении безопасности, которое используется для нескольких сопоставлений безопасности на принимающем компьютере.</p><p>Для обеспечения успешной и безопасной связи IKE выполняет операцию в два этапа. На первом этапе два компьютера создают безопасный канал с проверкой подлинности, который называется сопоставлением безопасного режима. Во время этого этапа сначала выполняется согласование политики безопасности основного режима при помощи алгоритма шифрования (DES или 3DES), алгоритма проверки целостности (MD5 или SHA1), группы Дифи-Хелмана или метода проверки подлинности (Kerberos, сертификат или предварительный ключ). После этого на первом этапе осуществляется обмен сведениями, которые необходимы алгоритму определения ключа Дифи-Хелмана для создания общего секретного ключа. После обмена на каждом компьютере создается основной ключ, используемый для защиты проверки подлинности. Последним шагом на данном этапе является проверка подлинности. В этот момент компьютеры выполняют проверку подлинности при обмене ключами Дифи-Хелмана. Все сведения учетной записи хешируются и шифруются с помощью ключей, созданных по результатам обмена сведениями о группе Дифи-Хелмана на предыдущем шаге.</p><p>На втором этапе обмена ключами в Интернете сопоставления безопасности согласуются от имени драйвера IPSec. Во время данного этапа выполняются следующие шаги: идет согласование политики, во время которого компьютеры IPSec обмениваются такими требованиями к защите передачи данных, как протокол IPSec, а именно AH или ESP, алгоритм хеширования для проверки подлинности (MD5 или SHA1), а также, если запрашивается, алгоритм шифрования (DES или 3DES). Далее происходит обновление или обмен материалом для создания ключа сеанса. В это время IKE обновляет сведения о ключе, после чего происходит создание новых общих ключей для проверки подлинности и шифрование пакетов. И, напоследок, идет процесс сопоставления безопасности, после чего ключи передаются в драйвер IPSec вместе с SPI.</p><p>Данный процесс вкратце изображен на следующей иллюстрации:</p><br/><p><a href=http://oszone.net/figs/u/72715/101229161532/IPSec-04.JPG target=_blank><img src=http://oszone.net/figs/u/72715/101229161532/IPSec-04_mini_oszone.JPG alt=* width=480 height=107/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Процесс обмена ключами в Интернете</strong></p><h2>Драйвер IPSec</h2><br /> <p>Последний компонент, драйвер IPSec получает список активных фильтров от агента политики IPSec, а после чего сверяет все входящие и исходящие пакеты с фильтрами в текущем списке. В том случае, если пакет полностью совпадает с данным фильтром, то к нему применяется действие самого фильтра. Если же пакет не соответствует ни одному доступному фильтру, то он возвращается в драйвер TCP/IP для приема или передачи без всяких изменений. Как для обработки входящего, так и исходящего трафика применяются ключи и сопоставление безопасности быстрого режима. В свою очередь, драйвер IPSec содержит в своей базе данных все текущие сопоставления безопасности быстрого режима и для правильного применения сопоставлений безопасности и пакетов использует индекс параметров безопасности.</p><p>После того как согласование безопасности будет завершено, драйвер IPSec на отправляющем компьютере принимает от IKE сопоставление безопасности, которое содержит ключ сеанса. Затем драйвер IPSec в базе данных находит исходящее сопоставление безопасности и вставляет индекс параметров безопасности в заголовок AH или ESP. После этого он подписывает пакеты и отправляет их на уровень IP для пересылки на компьютер назначения.</p><p>При получении IP-пакетов, которые считаются небезопасными, драйвер IPSec всегда их сверяет со списком фильтров, задающим туннели IPSec, а затем со всеми фильтрами передачи данных между сторонами подключения.</p><p>Принцип работы драйвера IPSec вы можете просмотреть на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/101229161532/IPSec-05.JPG target=_blank><img src=http://oszone.net/figs/u/72715/101229161532/IPSec-05_mini_oszone.JPG alt=* width=480 height=322/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Принцип работы драйвера IPSec</strong></p><h2>Заключение</h2><br><p>В этой статье была рассказана вводная часть о протоколе IPSec, который представляет собой систему открытых стандартов, обеспечивающих защиту сетей, используя для этого криптографические протоколы безопасности и динамическое управление ключами. Вы узнали о необходимости использования данной технологии в корпоративной среде, об основных возможностях данного протокола. Помимо этого были рассмотрены заголовки Authentication Header и Encapsulating Security Payload, посредством которых передаются защищенные данные по сети. Также, вкратце, были рассмотрены такие компоненты IPSec как агент политики IPSec, обмен ключами в Интернете, а также драйвер IPSec. В следующих статьях данного цикла вы узнаете о режиме транспорта, режиме туннелирования, сценариях использования, о настройке политик IPSec, а также о многом другом.</p> http://www.microsoft.com/rus/business/smb/blog/44/ Microsoft for Business <h2>Введение</h2><br /> <p>Как я уже не раз говорил в своих статьях по брандмауэру Windows в режиме повышенной безопасности, начиная с операционных систем Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>, брандмауэр Windows по умолчанию улучшает безопасность каждого компьютера в организации путем блокировки всего входящего трафика, который не был разрешен явным образом. При установке приложения или компонента операционной системы, которому требуются входящие подключения, операционная система автоматически включает входящие правила брандмауэра и вам, в большинстве случаев, не приходится их конфигурировать вручную. Если вы откроете у себя оснастку <strong>Брандмауэр Windows в режиме повышенной безопасности</strong> непосредственно из панели управления или выполнив команду <strong><em>wf.msc</em></strong> в диалоговом окне <strong>Выполнить</strong>, или в командной строке, то увидите, что у вас уже некоторые правила автоматически включены. Например, это может быть правило, которое автоматически создается с установкой программы <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Windows Live</a> Messenger или при развертывании роли Hyper-V, как показано на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-01.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-01_mini_oszone.JPG alt=* width=480 height=107/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Автоматически воздаваемые правила входящих подключений</strong></p><p>Но не во всех случаях правила входящих подключений брандмауэра Windows создаются автоматически. Для некоторых приложений, не создающих правила входящих подключений по умолчанию, вам придется создавать правила вручную. Если такая программа установлена на одном компьютере или на нескольких компьютерах, которые расположены в рабочей группе, вы можете создавать правила непосредственно в оснастке <strong>Брандмауэр Windows в режиме повышенной безопасности</strong>. Но что делать, если компьютеры ваших сотрудников являются членами домена и таких компьютеров десятки, а то и сотни? В таком случае, для применения администратором правил брандмауэра Windows в организации следует воспользоваться групповой политикой, которая предоставляет аналогичный интерфейс.</p><p>В этой статье вы узнаете о том, как можно выполнять гибкое управление брандмауэром Windows в режиме повышенной безопасности средствами групповых политик, а именно о создании входящих и исходящих подключений для определенной группы пользователей.</p><h2>Создание объекта групповой политики для управления брандмауэрами Windows в режиме повышенной безопасности</h2><br /> <p>Прежде чем создавать правила входящих и исходящих подключений для брандмауэров Windows в режиме безопасности клиентских компьютеров вашей организации, вам нужно найти подразделения, которые содержат учетные записи компьютеров вашей организации и создать объект GPO, который потом будет содержать набор политик с параметрами, предназначенными для конкретного набора компьютеров. После этого, при помощи оснастки <strong>Редактор управления групповыми политиками</strong>, нужно будет отконфигурировать правила для входящих и исходящих подключений. В процессе создания объекта групповой политики, предназначенной для управления брандмауэров Windows в режиме повышенной безопасности нет ничего специфического. Для этого выполните следующие действия:</p><ol> <li>Первым делом убедитесь, что в вашем домене для клиентских компьютеров создано специальное подразделение. Я полагаю, что ни для кого не является секретом то, что по умолчанию все клиентские компьютеры создаются в контейнере (не подразделении) Computers, к которому невозможно привязать объект групповой политики. Поэтому, откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong>, в дереве консоли разверните свой домен и убедитесь, что для клиентских компьютеров создано подразделение;</li><li>Если такое подразделение ранее не было вами создано, в области сведений нажмите правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>, а затем <strong>Подразделение</strong>. В диалоговом окне <strong>Новый объект - Подразделение</strong> укажите имя подразделения, например, <strong>Клиенты</strong>, и установите флажок <strong>Защитить контейнер от случайного удаления</strong>;</li><li>Перейдите в контейнер <strong>Computers</strong>, выделите созданные ранее учетные записи компьютеров, нажмите на них правой кнопкой мыши и из контекстного меню выберите команду <strong>Переместить</strong>. В диалоговом окне <strong>Переместить</strong>, выберите подразделение, которое вы создали на предыдущем шаге и нажмите на кнопку <strong>ОК</strong>. Данное диалоговое окно показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-02.JPG alt=* width=326 height=318/></p><p><strong>Рис. 2. Диалоговое окно Переместить</strong></p><li>После того как вы перенесете все созданные ранее учетные записи компьютеров в созданное вами подразделение, содержимое данного подразделения должно выглядеть так, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-03.JPG alt=* width=480 height=251/></p><p><strong>Рис. 3. Содержимое подразделения Клиенты</strong></p><p>Теперь, когда все учетные записи перенесены в нужное подразделение, можно закрыть оснастку <strong>Active Directory - пользователи и компьютеры</strong> и переходить к созданию объекта групповой политики.</p><li>Данный шаг выполнять необязательно, но если вы сразу перенаправите контейнер компьютеров по умолчанию, все новые объекты компьютеров, генерируемые в случае присоединения компьютера к домену без предварительного размещения учетной записи, будут создаваться в управляемом подразделении. Для этого в окне командной строки введите следующую команду: <strong><em>redircmp OU=Клиенты,DC=Biopharmaceutic,DC=com</em></strong>;</li><li>Откройте оснастку <strong>Управление групповой политикой</strong>, в дереве консоли разверните узел <strong>Лес: %имя леса%</strong>, узел <strong>Домены</strong>, затем узел с названием вашего домена, после чего узел <strong>Объекты групповой политики</strong>. На узле <strong>Объекты групповой политики</strong> нажмите правой кнопкой и выберите команду <strong>Создать</strong>. В диалоговом окне <strong>Новый объект групповой политики</strong>, в поле <strong>Имя</strong> введите имя нового объекта групповой политики, например <strong>Настройки брандмауэра Windows</strong> и нажмите на кнопку <strong>ОК</strong>. Для клиентских компьютеров и для серверов желательно создавать разные объекты групповой политики;</li><li>Так как брандмауэр Windows в режиме повышенной безопасности настраивается непосредственно в узле <strong>Конфигурация компьютера</strong>, для повышения производительности клиентского компьютера во время применения параметров объекта групповой политики желательно для данного объекта GPO отключить параметры конфигурации пользователя. Выберите созданный объект групповой политики, перейдите на вкладку <strong>Таблица</strong> и в раскрывающемся списке <strong>Состояние GPO</strong> выберите <strong>Параметры конфигурации пользователя отключены</strong>, после чего во всплывшем диалоговом окне <strong>Управление групповой политикой</strong> нажмите на кнопку <strong>ОК</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-04.JPG alt=* width=480 height=208/></p><p><strong>Рис. 4. Отключение параметров конфигурации пользователя</strong></p><li>На последнем шаге предварительной подготовки объекта групповой политики вам нужно связать созданный ранее объект групповой политики с подразделением, содержащим учетные записи компьютеров, для которых должны применяться параметры данного GPO. В дереве консоли выберите подразделение, содержащее учетные записи компьютеров, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В отобразившемся диалоговом окне <strong>Выбор объекта групповой политики</strong> выберите созданный ранее объект GPO, в данном случае, <strong>Настройки брандмауэра Windows</strong> и нажмите на кнопку <strong>ОК</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-05.JPG alt=* width=480 height=187/></p><p><strong>Рис. 5. Связывание объекта GPO с подразделением компьютеров</strong></p></ol><p>После того как вы выполните все указанные ранее действия, можно заняться созданием входящих и исходящих правил для брандмауэра Windows в режиме повышенной безопасности.</p><h2>Настройка правила для входящего и исходящего подключения</h2><br /> <p>На этом этапе мы создадим правило для входящих подключений, применяемое к программе Windows Live Messenger на 1900 порт для 64-разрядных операционных систем Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, а также правило для исходящего подключения, разрешающее запросы от браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a> в объекте групповой политики, который создавался в предыдущем разделе данной статьи. По умолчанию члены локальной группы администраторов также могут создавать и изменять правила для входящих и исходящих подключений в оснастке <strong>Брандмауэр Windows в режиме повышенной безопасности</strong>. Такие правила объединяются с правилами, полученными из групповых политик, и применяются к конфигурации компьютера. Для того чтобы создать правило входящего подключения в созданном ранее объекте групповой политики, выполните следующие действия:</p><ol> <li>В узле <strong>Объекты групповой политики</strong> оснастки <strong>Управление групповой политикой</strong> выберите созданный ранее объект GPO, в данном случае, объект <strong>Настройка брандмауэра Windows</strong>, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong> в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\Брандмауэр Windows в режиме повышенной безопасности\Правила для входящих подключений</strong>. Щелкните правой кнопкой мыши элемент <strong>Правила для входящих подключений</strong> и из контекстного меню выберите команду <strong>Создать правило</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-06.JPG alt=* width=454 height=477/></p><p><strong>Рис. 6. Создание нового правила для входящих подключений</strong></p><li>На первой странице <strong>Мастера создания правила для нового входящего подключения</strong> вы можете выбрать одну из опций, которые подробно описаны далее: <ul> <li><strong>Для программы</strong>. Этот тип правила для брандмауэра служит для создания правила, разрешающего или блокирующего подключения конкретного исполняемого файла, независимо от используемых номеров портов. Для большинства людей данный тип правила может оказаться самым полезным, так как далеко не все знают, какие порты использует конкретная программа. Лучше всего в большинстве случаев применять именно этот тип правила, но стоит обратить внимание на то, что данный тип не применяется в том случае, если конкретная служба не содержит собственный исполняемый файл;</li><li><strong>Для порта</strong>. Этот тип правила для брандмауэра служит для создания правила, разрешающего или блокирующего коммуникации для определенного TCP или UDP порта, независимо от программы, которая генерирует трафик. Создавая правило данного типа, вы можете указать одновременно несколько портов;</li><li><strong>Предопределённые</strong>. Этот тип правила для брандмауэра служит для создания правила, управляющего подключениями конкретной программы или службы операционной системы, которая отображается в соответствующем раскрывающемся списке. Некоторые программы после своей установки добавляют свои записи в данный список для упрощения процесса создания правил для входящих подключений;</li><li><strong>Настраиваемые</strong>. Этот тип правила для брандмауэра служит для создания правила, которое может комбинировать сведения о программе и порте одновременно.</li></ul></li><p>Для того чтобы рассмотреть максимальное количество страниц мастера, выберем тип <strong>Настраиваемое правило</strong>;</p><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-07.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-07_mini_oszone.JPG alt=* width=480 height=383/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Страница Тип правила мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Программа</strong> мастер создания правила для нового входящего подключения позволяет указать путь к программе, которую будет проверять брандмауэр Windows в режиме повышенной безопасности на то, чтобы посылаемые или принимаемые сетевые пакеты удовлетворяли данному правилу. В нашем случае установим переключатель на опцию <strong>Путь программы</strong> и в соответствующем текстовом поле введем <strong>C:\Program Files (x86)\Windows <a href=http://msdn.microsoft.com/ru-ru/windowslive/default.aspx target=_blank title=Узнайте больше о Windows Live>Live</a>\Messenger\msnmsgr.exe</strong>, как показано ниже:</li><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-08.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-08_mini_oszone.JPG alt=* width=480 height=381/><br/>Увеличить рисунок</a></p><p><strong>Рис. 8. Страница Программа мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Протокол и порты</strong> мастера создания правила для нового входящего подключения вы можете указать протокол и порты, используемые в сетевом пакете, которые будут удовлетворять текущему правилу. Если вам нужно указать несколько портов, вы можете их ввести через запятую. А если вам необходимо указать целых диапазон портов, разделите меньшее и большее значение портов дефисом. Вкратце рассмотрим параметры локальных портов для правил входящих подключений: <ul> <li><strong>Все порты</strong>. Правило применяется для всех входящих и исходящих подключений по протоколам TCP или UDP;</li><li><strong>Специальные порты</strong>. В данном случае вы можете указать конкретные порты, которые будут применяться для входящего или исходящего подключения по протоколам TCP или UDP;</li><li><strong>Сопоставитель конечных точек RPC</strong>. Данное значение можно выбрать только для входящих подключений по протоколу TCP. В данном случае компьютер будет получать входящие RPC-запросы по протоколу TCP через порт 135 в запросе RPC-EM, где указывается сетевая служба и запрашивается номер порта, по которому и прослушивается данная сетевая служба;</li><li><strong>Динамические порты RPC</strong>. Также как и для предыдущего значения, данное значение можно выбрать только для входящих подключений по протоколу TCP, где компьютер будет получать входящие сетевые RPC-пакеты через порты, которые назначаются средой выполнения RPC;</li><li><strong>IPHTTPS</strong>. Это значение доступно только для входящих подключений по протоколу TCP. В этом случае разрешается принимать входящие пакеты по протоколу туннелирования IPHTTPS, поддерживающему внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS от удаленного компьютера;</li><li><strong>Обход узлов</strong>. Вы можете выбрать это значение только для входящих подключений по протоколу UDP, которое позволяет получать входящие сетевые пакеты Teredo.</li></ul></li><p>Например, для того чтобы указать для программы Windows Live Messenger TCP порты 80, 443 и 1900, в раскрывающемся списке <strong>Тип протокола</strong> выберите <strong>TCP</strong>, в раскрывающемся списке <strong>Локальный порт</strong> выберите значение <strong>Специальные порты</strong>, а в текстовом поле, расположенном под указанным выше раскрывающемся меню введите <strong>80, 443, 1900</strong>. Оставьте значение раскрывающегося списка <strong>Удаленный порт</strong> без изменений и нажмите на кнопку <strong>Далее</strong>;</p><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-09.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-09_mini_oszone.JPG alt=* width=480 height=383/><br/>Увеличить рисунок</a></p><p><strong>Рис. 9. Страница Протокол и порты мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Область</strong> данного мастера вы можете указать IP-адреса локальных и удаленных компьютеров, сетевой трафик которых будет применяться для текущего правила. Здесь доступны два раздела: локальные и удаленные IP-адреса, к которым будет применяться данное правило. Как в первом, так и во втором разделах, сетевой трафик будет удовлетворять данное правило только в том случае, если IP-адрес назначения присутствует в данном списке. При выборе опции <strong>Любой IP-адрес</strong>, правилу будут удовлетворять сетевые пакеты с любым IP-адресом, которые будут указаны в качестве адреса локального компьютера или которые будут адресованы от любого IP-адреса (в случае с правилом для входящего подключения). Если же вам нужно указать конкретные IP-адреса, установите переключатель на опцию <strong>Указанные IP-адреса</strong> и определенный адрес или подсеть используя диалоговое окно, открывающееся по нажатию на кнопку <strong>Добавить</strong>. В нашем случае, оставим данную страницу без изменений и нажмем на кнопку <strong>Далее</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-10.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-10_mini_oszone.JPG alt=* width=480 height=383/><br/>Увеличить рисунок</a></p><p><strong>Рис. 10. Страница Область мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Действие</strong> вы можете выбрать действие, которое будет выполняться для входящих или исходящих пакетов в данном правиле. Здесь вы можете выбрать одно из трех следующих действий: <ul> <li><strong>Разрешить подключение</strong>. При выборе данного значения, вы разрешаете все подключения, которые соответствуют критерию, указанному на всех предыдущих страницах мастера;</li><li><strong>Разрешить безопасное подключение</strong>. Текущее значение для правила брандмауэра Windows в режиме повышенной безопасности позволяет разрешать подключения только в том случае, если они соответствуют критериям, которые были указаны вами ранее, а также защищены по протоколу IPSec. Не будем останавливаться на данном значении, так как оно будет подробно рассмотрено в моих следующих статьях;</li><li><strong>Блокировать подключение</strong>. В этом случае брандмауэр Windows в режиме повышенной безопасности будет сбрасывать любые попытки подключения, которые соответствуют критериям, указанным вами ранее. Несмотря на то, что изначально все подключения блокируются брандмауэром, данное значение целесообразно выбирать в том случае, если вам нужно запретить подключения для конкретного приложения.</li></ul></li><p>Так как нам нужно разрешить доступ для программы Windows Live Messenger, устанавливаем переключатель на опции <strong>Разрешить подключение</strong> и нажимаем на кнопку <strong>Далее</strong>;</p><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-11.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-11_mini_oszone.JPG alt=* width=480 height=384/><br/>Увеличить рисунок</a></p><p><strong>Рис. 11. Страница Действие мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Профиль</strong> мастера создания правила для нового входящего подключения вы можете выбрать профиль, к которому будет применимо данное правило. Вы можете выбрать или один из трех доступных профилей или сразу несколько. Чаще всего для организации выбирается или профиль <strong>Доменный</strong> или все три профиля. Если же в вашей организации не используются доменные службы Active Directory или вы настраиваете правила брандмауэра для домашнего компьютера, вам будет достаточно указать только профиль <strong>Частный</strong>. Правила для профиля <strong>Публичный</strong> создаются для общедоступных подключений, что, в принципе, делать небезопасно. В нашем случае, установим флажки на всех трех профилях и нажмем на кнопку <strong>Далее</strong>;</li><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-12.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-12_mini_oszone.JPG alt=* width=480 height=384/><br/>Увеличить рисунок</a></p><p><strong>Рис. 12. Страница Профиль мастера создания правила для нового входящего подключения</strong></p><li>На странице <strong>Имя</strong> укажите имя для созданного вами нового правила брандмауэра Windows в режиме повышенной безопасности для входящего подключения, при необходимости введите описание для текущего правила и нажмите на кнопку <strong>Готово</strong>.</li><br/><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-13.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-13_mini_oszone.JPG alt=* width=480 height=386/><br/>Увеличить рисунок</a></p><p><strong>Рис. 13. Страница Имя мастера создания правила для нового входящего подключения</strong></p></ol><p>По умолчанию брандмауэр Windows в режиме повышенной безопасности разрешает весь исходящий трафик, что, по сути, подвергает компьютер меньшей угрозе взлома, нежели разрешение входящего трафика. Но, в некоторых случаях, вам необходимо контролировать не только входящий, но еще и исходящих трафик на компьютерах ваших пользователей. Например, такие вредоносные программные продукты как черви и некоторые типы вирусов могут выполнять репликацию самих себя. То есть, если вирус успешно смог идентифицировать компьютер, то он будет пытаться всеми доступными (для себя) способами отправлять исходящий трафик для идентификации других компьютеров данной сети. Таких примеров можно приводить довольно много. Блокирование исходящего трафика обязательно нарушит работу большинства встроенных компонентов операционной системы и установленного программного обеспечения. Поэтому, при включении фильтрации исходящих подключений вам нужно тщательно протестировать каждое установленное на пользовательских компьютерах приложение.</p><p>Создание исходящих правил незначительно отличается от указанной выше процедуры. Например, если вы заблокировали на пользовательских компьютерах все исходящие подключение, а вам нужно открыть пользователям доступ на использование браузера Internet Explorer, выполните следующие действия:</p><ol> <li>Если вам нужно, чтобы правило брандмауэра Windows для исходящего подключения было назначено в новом объекте групповой политике, выполните действия, которые были указаны в разделе <strong>Создание объекта групповой политики для управления брандмауэрами Windows в режиме повышенной безопасности</strong>;</li><li>В оснастке <strong>Редактор управления групповыми политиками</strong> в дереве консоли разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\Брандмауэр Windows в режиме повышенной безопасности\Правила для исходящих подключений</strong>. Щелкните правой кнопкой мыши элемент <strong>Правила для исходящих подключений</strong> и из контекстного меню выберите команду <strong>Создать правило</strong>;</li><li>На странице мастера <strong>Тип правила</strong> выберите опцию <strong>Для программы</strong> и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Программа</strong>, установите переключатель на опцию <strong>Путь программы</strong> и введите в соответствующее текстовое поле <strong><em>%ProgramFiles%\Internet Explorer\iexplore.exe</em></strong> или выберите данный исполняемый файл, нажав на кнопку <strong>Обзор</strong>;</li><li>На странице <strong>Действие</strong> данного мастера выберите опцию <strong>Разрешить подключение</strong> и нажмите на кнопку <strong>Далее</strong>;</li><li>На странице <strong>Профиль</strong> согласитесь со значениями по умолчанию и нажмите на кнопку <strong>Далее</strong>;</li><li>На заключительной странице, странице <strong>Имя</strong>, введите имя для данного правила, например, <strong>Правило для браузера Internet Explorer</strong> и нажмите на кнопку <strong>Готово</strong>.</li></ol><p>В области сведений оснастки <strong>Редактор управления групповыми политиками</strong> у вас должно отображаться созданное правило, как показано на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/110110065913/wfas-14.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110110065913/wfas-14_mini_oszone.JPG alt=* width=480 height=119/><br/>Увеличить рисунок</a></p><p><strong>Рис. 14. Созданное правило для исходящего подключения</strong></p><h2>Назначение фильтрации для созданного правила</h2><br /> <p>Теперь, после того как вы создали объект групповой политики с входящим и исходящим правилом для подключений, вам нужно обратить внимание на следующий момент. При создании правила для входящего подключения мы указали путь к Windows Live Messenger для 64-разрядной операционной системы. Все ли компьютеры в вашей организации оснащены 64-разрядными операционными системами. Если все, то вам сильно повезло и больше ничего не нужно делать. Но если у вас есть клиентские компьютеры с 32-разрядными ОС, то вы столкнетесь с некой проблемой. Правило просто не будет работать. Конечно, вы можете создать разные подразделения для компьютеров с 32-разрядными и для компьютеров с 64-разрядными операционными системами, но это не совсем рационально. Другими словами, вам нужно указать в оснастке <strong>Управление групповой политикой</strong>, что объект GPO должен применяться только на компьютерах с 64-разрядной операционной системой. Такое ограничение вы можете создать при помощи WMI-фильтра. Более подробно о фильтрации WMI вы узнаете в одной из следующих статей, а сейчас стоит лишь остановиться на создании такого фильтра. Для того чтобы указать WMI-фильтр для определения 64-разрядных операционных систем, выполните следующие действия:</p><ol> <li>В оснастке <strong>Управление групповой политикой</strong> разверните узел <strong>Фильтры WMI</strong>, выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать</strong>;</li><li>В диалоговом окне <strong>Новый фильтр WMI</strong>, в текстовом поле <strong>Имя</strong> укажите имя фильтра, например <strong>64-bitArch</strong>, в поле <strong>Описание</strong> укажите подробное описания для данного фильтра, например, <strong>Определение 64-разрядных операционных систем</strong>. Для добавления запроса нажмите на кнопку <strong>Добавить</strong>;</li><li>Инструментарий WMI извлекает пространства имен, где есть классы, которые можно запрашивать. В данном примере, необходимые классы расположены в корневом классе <strong>root\CIMv2</strong>. Для определения 64-разрядных операционных систем нужно воспользоваться следующим запросом: <strong><em>Select * FROM Win32_OperatingSystem WHERE OSArchitecture=64-bit</em></strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-15.JPG alt=* width=480 height=460/></p><p><strong>Рис. 15. Создание WMI-запроса</strong></p><li>В диалоговом окне <strong>Запрос WMI</strong> нажмите на кнопку <strong>ОК</strong>, а затем в диалоговом окне <strong>Новый фильтр WMI</strong> нажмите на кнопку <strong>Сохранить</strong>;</li><li>Опять перейдите в <strong>Объекты групповой политики</strong> и выберите созданный вами объект GPO. На вкладке <strong>Область</strong>, в разделе <strong>Фильтр WMI</strong> из соответствующего раскрывающегося списка выберите созданный вами фильтр;</li><li>В отобразившемся диалоговом окне примите изменения и закройте оснастку <strong>Управление групповой политикой</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/110110065913/wfas-16.JPG alt=* width=480 height=399/></p><p><strong>Рис. 16. Применение фильтра WMI</strong></p></ol><h2>Заключение</h2><br /> <p>В данной статье вы узнали о том, как можно создать правила брандмауэра Windows в режиме повышенной безопасности для входящих и исходящих подключений средствами оснастки <strong>Брандмауэр Windows в режиме повышенной безопасности</strong>, а также при помощи групповых политик для компьютеров организации, которые являются членами домена Active Directory. Описаны предварительные работы, а именно создание подразделения с компьютерами, а также объекта групповой политики. Были рассмотрены примеры создания настраиваемого правила для входящего подключения, а также правило типа <strong>Для программы</strong> для исходящего подключения.</p> http://www.microsoft.com/rus/business/smb/blog/43/ Microsoft for Business <h2>Введение</h2><br /> <p>Вам как системному администратору, возможно, при поддержке пользователей понадобиться выполнять такие обыденные действия, как подключения сетевых дисков, настройки электропитания, системных служб, настраивать параметры браузера Internet Explorer, а также выполнять другие подобные действия. До выхода операционной системы <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>, в том случае, если пользователь входил в состав домена Active Directory, вы могли написать сценарий и привязать его к объекту групповой политики. В организациях, в большинстве случаев, развертываются два типа настроек: управляемые и неуправляемые.</p><p><strong>Управляемые параметры политики</strong> влияют на тип изменения конфигурации при применении параметра объектов групповой политики. При этом вы не позволяете пользователю изменять текущие настройки, что помогает предотвратить возможные потери производительности. Групповая политика считается лучшим средством распространения параметров политики для компьютеров под управлением операционных систем Microsoft Windows. Когда пользователь или компьютер больше не попадает под область действия объекта GPO, конфигурация автоматически возвращается в состояние по умолчанию.</p><p><strong>Неуправляемые параметры политики</strong> также вносят изменения в реестр. В отличие от управляемых параметров политики, при помощи этого типа настроек, после развертывания таких политик, вы позволяете пользователям изменять их настройки. Многие организации пользуются преимуществами предпочтений, поскольку они применяются для включения или отключения аппаратных или различных классов устройств. Например, вы можете запретить подключение к компьютеру внешних жестких дисков. В организациях можно развертывать предпочтения различными способами, но до появления операционной системы Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a> самым распространенным способом было развертывание сценариев входа и файлов реестра, но в любом случае все эти способы были очень громоздкими и трудоемкими. Если объект групповой политики больше не применяется, изменение параметра остается в реестре.</p><p>Одним из существенных изменений в групповых политиках операционной системы Windows Server 2008 является появление <strong>Предпочтений групповых политик</strong>. Предпочтения групповых политик были разработаны в дополнение к групповым политикам, которые впервые появились в операционной системе Windows 2000. Основным назначением предпочтений групповых политик является настройка параметров компьютеров под управлением операционных систем Windows без принудительного их использования. Эта технология обеспечивает единое средство, позволяющее администраторам создавать стандартизированное окружение для пользователя, позволяя им изменять свои настройки. Также предпочтения групповых политик имеют обратную совместимость, что позволяет принять их мощный и гибкий функционал на ваши сервера и клиентские машины без их обновления. Предпочтения групповых политик распространяются на такие операционные системы как Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, а также <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>.</p><p>Предпочтения групповых политик предоставляет более двадцати расширений клиентской стороны (Client-Side Extension - CSE) групповой политики, которые включены в Windows Server 2008 и позволяют управлять параметрами реестра, сопоставлениями дисков, службами, файлами и папками, локальными пользователями и группами, и многим другим, что позволяет существенно увеличивать диапазон настраиваемых параметров предпочтения в объектах групповых политик. Благодаря предпочтениям групповых политик вы можете забыть об использовании большинства сценариев входа, которые разрабатывались для выполнения идентичных действий. В этой статье вы узнаете о целесообразности использования предпочтений групповых политик, а также увидите основные отличия предпочтений групповой политики от параметров групповой политики.</p><h2>Преимущества предпочтений групповой политики</h2><br /> <p>К основным преимуществам функционала предпочтений групповых политик можно отнести следующее:</p><ul><li><strong>Снижение потребности в использовании сценариев входа в систему</strong>. Несмотря на то, что сценарии входа в систему позволяют вам применять нестандартные ращения, предпочтения групповой политики позволяют значительно снизить потребности в их применении. К самым распространенным задачам, которые выполняются при помощи сценариев входа, относятся настройка параметров реестра, копирование файлов и папок, отображение сетевых дисков, а также установка принтеров. Зачастую, такие сложные сценарии требуют затрат времени на их написания, а также на процесс тестирования. Все эти возможности доступны при помощи предпочтений групповой политики;</li><li><strong>Минимизация обслуживания</strong>. Использование стратегии тонких образов предпочтений групповой политики позволяет вам существенно сократить время и расходы на обслуживание образов дисков. Для отображения изменения конфигурации, вместо обновления существующих образов, вы можете развернуть в организации один образ, а потом лишь вносить изменения в предпочтения групповой политики, что позволяет значительно снизить затраты на проектирование и тестирование вашей инфраструктуры;</li><li><strong>Повышение производительности ИТ</strong>. Как говорилось ранее, для расширения возможностей групповой политики, предпочтения групповой политики предоставляют более 20 клиентских расширений CSE, которые позволяют настраивать компоненты системы, подлежащие изменениям чаще всего. При помощи предпочтений групповой политики вы можете разворачивать и настраивать параметры на одном из серверов вместо того, чтобы переупаковывать и перераспределять параметры на клиентском компьютере с обновленной конфигурацией. Для этого вам достаточно просто изменить объект групповой политики, который содержит те элементы предпочтений, которые вам нужно обновить;</li><li><strong>Сокращение общего количества образов</strong>. Совместно со стратегией тонких образов, предпочтения групповых политик позволяют снизить количество образов операционных систем, которые вам необходимо развертывать и поддерживать. Если вы разрабатываете большое количество образов ОС, то зачастую они содержат различные настройки, которые присущи определенным организационным единицам вашей организации. Вместо этого вы можете развертывать единый образ для всех клиентов, а затем при помощи предпочтений групповых политик настраивать конфигурацию пользователей и компьютеров согласно предпочтениям для групп или отделов;</li><li><strong>Ограничение в ошибках конфигурации</strong>. Обращение пользователей в службу поддержки зачастую связаны с ошибками конфигурации, возникшими после развертывания системы. Предпочтения групповой политики значительно упрощают процесс поддержки пользователей. Прежде всего, данные настройки предоставляют вам более гибкие возможности по отношению к другим средствам. Например, при помощи предпочтений групповых политик вы можете настроить только свойства браузера <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a>, не трогая остальные параметры. Также вы можете настроить многие элементы, даже не имея представления, где расположены их параметры в системном реестре. Предпочтения групповой политики предоставляют вам знакомый пользовательский интерфейс, при помощи которого вы настраивали бы те же параметры, находясь за компьютером пользователя.</li></ul><h2>Отличия параметров политики и предпочтений групповой политики</h2><br /> <p>Также как и параметры политики групповой политики, вы можете изменять предпочтения групповой политики при помощи оснастки <strong>Редактор управления групповыми политиками</strong>. На многих форумах часто можно встретить вопросы, относительно отличий между параметрами политики и предпочтениями групповой политики. Для полноценного использования групповых политик понимание ключевых отличий является в каком-то роде решающим фактором. Ключевым отличием предпочтения групповой политики от параметров отличий является обеспечение соблюдения настраиваемых параметров. Параметры групповой политики применяются к своей области действия в строгом режиме. Другими словами, групповые политики записывают свои параметры в разделы реестра и списки управления доступом (ACL), тем самым запрещая пользователям изменять эти параметры. Перед тем как операционная система или приложение, совместимое с групповыми политиками выполнит поиск управляемого параметра, предварительно производится поиск параметра политики. Если такого параметра политики не существует, то приложение продолжает искать значение данного параметра в системном реестре. Помимо этого, функции операционной системы или приложений, совместимых с групповой политикой отключают пользовательский интерфейс, позволяющий изменять параметры, которые были настроены при помощи групповой политики, запрещающие изменения текущих параметров. В конце концов, параметры групповой политики регулярно обновляются, по умолчанию, каждые 90 минут.</p><p>В отличие от параметров групповой политики, предпочтения групповой политики не так строго привязываются к настройкам определенных компонентов системы. Групповая политика не сохраняет в разделах реестра, где обычно сохраняются параметры групповых политик, параметры, которые были установлены средствами предпочтений групповой политики. Вместо этого, предпочтения групповой политики записывают свои параметры в те разделы, в которых хранятся параметры, изменяемые средствами операционной системы или приложений. Предпочтения групповой политики поддерживают компоненты операционной системы и приложения, которые не совместимы с параметрами групповой политики. Помимо этого, при использовании предпочтений групповой политики, у пользователей не блокируются возможности изменений текущих параметров, то есть после развертывания таких политик они могут сами настроить компоненты системы так, как им удобно. Предпочтения групповой политики обновляются с тем же интервалом, что и обычные параметры GPO, но вы можете настроить предпочтения так, чтобы они обновлялись только один раз. Эта возможность позволяет один раз предложить пользователям оптимальные настройки и дать возможность изменить их в случае необходимости.</p><p>Также фильтрация групповой политики существенно отличается от нацеленности на уровень элемента предпочтений групповой политики. Объекты групповой политики для своей фильтрации используют фильтры WMI, которые позволяют определять, будет ли текущая групповая политика применяться ко всему объекту GPO. Причем в объекте групповой политики вы не можете отфильтровать какие-либо индивидуальные параметры. Для того чтобы создавать объекты групповой политики, основанные на вашей фильтрации, вам придется развернуть огромный набор объектов GPO. В свою очередь, при помощи предпочтений групповой политики вы можете применять нацеленность на уровень элемента, что позволяет нацеливать элементы индивидуальных предпочтений на объект групповой политики. Вы можете указать, что в одном объекте групповой политики один элемент будет распространяться на персональные, а второй на мобильные компьютеры, причем, в отличие от сложного функционала WMI объектов групповых политик, нацеленность на уровень элемента настраивается средствами удобного пользовательского интерфейса.</p><p>В следующей таблице изображены некоторые отличия между предпочтениями групповой политики и параметрами политики:</p><table><tbody><tr><td><p><strong>Задача</strong></p></td><td><p><strong>Предпочтения групповой политики</strong></p></td><td><p><strong>Параметры групповой политики</strong></p></td></tr><tr><td><p>Принудительное применение</p></td><td><ul><li>Настройки не принудительные;</li><li>Пользовательский интерфейс не отключается;</li><li>Могут быть применены или изменены однократно;</li></ul></td><td><ul><li>Настройки принудительные;</li><li>Пользовательский интерфейс отключается;</li><li>Параметры обновляются;</li></ul></td></tr><tr><td><p>Локальная политика</p></td><td><p>Не доступны в локальной групповой политике</p></td><td><p>Доступны в локальной групповой политике</p></td></tr><tr><td><p>Гибкость</p></td><td><ul><li>Простое создание предпочтений;</li><li>Импортируются индивидуальные параметры реестра из локального или удалённого компьютера;</li></ul></td><td><ul><li>Параметры политики требуют поддержки приложением административных шаблонов;</li><li>Для управления файлами и папками нельзя создавать параметры политики;</li></ul></td></tr><tr><td><p>Хранение</p></td><td><ul><li>Исходные параметры перезаписываются;</li><li>Удаление элемента предпочтения не восстанавливает исходное значение</li></ul></td><td><ul><li>Исходные параметры не изменяются;</li><li>Политики хранятся в разделе реестра;</li><li>При удалении политики параметр восстанавливает исходные значения параметров реестра;</li></ul></td></tr><tr><td><p>Информированность</p></td><td><p>Поддерживаются приложения не совместимые с групповой политикой</p></td><td><p>Не поддерживаются приложения не совместимые с групповой политикой</p></td></tr><tr><td><p>Пользовательский интерфейс</p></td><td><p>Для большинства параметров предоставляется знакомый пользовательский графический интерфейс</p></td><td><p>Для большинства параметров политики предоставляется альтернативный пользовательский интерфейс</p></td></tr><tr><td><p>Нацеленность и фильтрация</p></td><td><ul><li>Нацеленность является гранулированной с интерфейсом пользователя для каждого элемента;</li><li>Поддерживается нацеленность на уровне элементов индивидуальных предпочтений</li></ul></td><td><ul><li>Поддерживается фильтрация на уровне объекта групповой политики;</li><li>Фильтрация основана на WMI и требует написания запросов WMI;</li></ul></td></tr></tbody></table><p><strong>Таблица 1. Отличия предпочтений групповой политики от параметров политики</strong></p><h2>Элементы предпочтений групповой политики</h2><br /> <p>Интерфейс конфигурации параметров предпочтений групповой политики доступен в узле <strong>Настройка</strong> конфигурации пользователя и конфигурации компьютера аналогичен пользовательскому интерфейсу Windows, где изменения можно внести вручную. Стоит обратить внимание на то, что некоторые расширения предпочтений групповой политики расположены в узле <strong>Конфигурация Windows</strong>, а некоторые в узле <strong>Параметры панели управления</strong>. Предпочтения конфигурации системы узла <strong>Конфигурация компьютера</strong> и <strong>Конфигурация пользователя</strong> почти идентичны. Отличаются они лишь расширениями <strong>Приложения</strong> и <strong>Сопоставления дисков</strong> для конфигурации пользователя и расширением <strong>Сетевые общие ресурсы</strong> конфигурации компьютера. Элементы, которые вы можете настраивать непосредственно из панели управления можно найти в узле <strong>Параметры панели управления</strong>. На следующей иллюстрации изображены расширения предпочтений групповой политики конфигурации компьютера и пользователя:</p><p><a href=http://oszone.net/figs/u/72715/101028053023/gppref-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/101028053023/gppref-01_mini_oszone.jpg alt=* width=480 height=280/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Предпочтения групповой политики</strong></p><h2>Заключение</h2><br /> <p>В этой статье вы узнали об очередном функционале групповых политик Windows Server 2008/2008 R2 - предпочтениях групповой политики, которые были разработаны в дополнение к групповым политикам и предназначены для настройки параметров компьютеров под управлением операционных систем Windows без принудительного их использования. Вы узнали о преимуществах использования предпочтений групповой политики. Также были рассмотрены отличия параметров политики от предпочтений групповой политики. В следующих статьях вы узнаете обо всех параметрах предпочтений групповой политики, а также о нацеленности на уровне элементов.</p> http://www.microsoft.com/rus/business/smb/blog/42/ Microsoft for Business <h2>Введение</h2><br /> <p>В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки <strong>Редактор локальной групповой политики</strong>. Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.</p><p>В связи с большим числом параметров безопасности операционных систем <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> и <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a>, невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье <a href=http://www.oszone.net/11424/uac_windows7_2>Настройки групповых политик контроля учетных записей в Windows 7</a> были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.</p><h2>Конфигурирование политик безопасности</h2><br /> <p>Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки <strong>Редактор локальной групповой политики</strong> или оснастки <strong>Локальная политика безопасности</strong>. Оснастка <strong>Локальная политика безопасности</strong> используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки <strong>Редактор управления групповыми политиками</strong>. Перейти к локальным политикам безопасности, вы можете следующими способами:</p><ol><li>Нажмите на кнопку <strong>Пуск</strong> для открытия меню, в поле поиска введите <em>Локальная политика безопасности</em> и откройте приложение в найденных результатах;</li><li>Воспользуйтесь комбинацией клавиш <img src=http://oszone.net/figs/u/72715/100222074222/winkey.png alt=* width=20 height=19/>+R для открытия диалога <strong>Выполнить</strong>. В диалоговом окне <strong>Выполнить</strong>, в поле <strong>Открыть</strong> введите <em>secpol.msc</em> и нажмите на кнопку <strong>ОК</strong>;</li><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>. Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>. В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Редактор локальной групповой политики</strong> и нажмите на кнопку <strong>Добавить</strong>. В появившемся диалоге <strong>Выбор объекта групповой политики</strong> нажмите на кнопку <strong>Обзор</strong> для выбора компьютера или нажмите на кнопку <strong>Готово</strong> (по умолчанию установлен объект <strong>Локальный компьютер</strong>). В диалоге <strong>Добавление или удаление оснасток</strong> нажмите на кнопку <strong>ОК</strong>. В оснастке <strong>Редактор локальной групповой политики</strong> перейдите в узел <strong>Конфигурация компьютера</strong>, а затем откройте узел <strong>Параметры безопасности</strong>.</li></ol><p><a href=http://oszone.net/figs/u/72715/100222074222/lps-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100222074222/lps-01_mini_oszone.jpg alt=* width=480 height=343/><br/>Увеличить рисунок</a></p><p>В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.</p><h2>Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену</h2><br /> <p>При помощи следующих примеров вы увидите разницу между применением политики безопасности для локального компьютера и для объекта групповой политики рабочего компьютера, присоединенного к домену <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> R2.</p><h2>Применение политики безопасности для локального компьютера</h2><br /> <p>Для успешного выполнения текущего примера, учетная запись, под которой выполняются данные действия, должна входить в группу <strong>Администраторы</strong> на локальном компьютере. Если компьютер подключен к домену, то эти действия могут выполнять только пользователи, которые являются членами группы <strong>Администраторы домена</strong> или групп, с разрешенными правами на редактирование политик.</p><p>В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Локальные политики безопасности</strong> или перейдите в узел <strong>Параметры безопасности</strong> оснастки <strong>Редактор локальной групповой политики</strong>;</li><li>Перейдите в узел <strong>Локальные политики</strong>, а затем <strong>Параметры безопасности</strong>;</li><li>Откройте параметр <strong>Учетные записи: Переименование учетной записи гостя</strong> дважды щелкнув на нем или нажав на клавишу <strong>Enter</strong>;</li><li>В текстовом поле введите <em>Гостевая запись</em> и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-02.jpg alt=* width=431 height=513/></p><li>Перезагрузите компьютер.</li></ol><p>После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент <strong>Учетные записи пользователей</strong> и перейти по ссылке <strong>Управление другой учетной записью</strong>. В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя:</p><p><a href=http://oszone.net/figs/u/72715/100222074222/lps-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100222074222/lps-03_mini_oszone.jpg alt=* width=480 height=362/><br/>Увеличить рисунок</a></p><h2>Применение политики безопасности для объекта групповой политики рабочей компьютера, присоединенного к домену Windows Server 2008 R2</h2><br /> <p>В этом примере мы запретим пользователю Test_ADUser изменять пароль для учетной записи на своем компьютере. Напомню, что для выполнения следующих действий вы должны входить в группу <strong>Администраторы домена</strong>. Выполните следующие действия:</p><ol><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>;</li><li>В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>;</li><li>В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Редактор локальной групповой политики</strong> и нажмите на кнопку <strong>Добавить</strong>;</li><li>В появившемся диалоге <strong>Выбор объекта групповой политики</strong> нажмите на кнопку <strong>Обзор</strong> для выбора компьютера и выберите нужный компьютер, как показано на следующем скриншоте:</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-04.jpg alt=* width=480 height=531/></p><li>В диалоге <strong>Выбор объекта групповой политики</strong> убедитесь, что выбрали нужный компьютер и нажмите на кнопку <strong>Готово</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-05.jpg alt=* width=480 height=413/></p><li>В диалоге <strong>Добавление или удаление оснасток</strong> нажмите на кнопку <strong>ОК</strong>;</li><li>В оснастке <strong>Редактор локальной групповой политики</strong> перейдите в узел <strong>Конфигурация компьютера</strong>, а затем откройте узел <strong>Параметры безопасности\Локальный компьютер\Параметры безопасности</strong>;</li><li>Откройте параметр <strong>Контроллер домена: Запретить изменение пароля учетных записей компьютера</strong> дважды щелкнув на нем или нажав на клавишу <strong>Enter</strong>;</li><li>В диалоге настроек параметра политики безопасности выберите опцию <strong>Включить</strong> и нажмите на кнопку <strong>ОК</strong>;</li><li>Перезагрузите компьютер.</li></ol><p>После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности, перейдите на компьютер, над которым проводились изменения и откройте консоль управления MMC. В ней добавьте оснастку <strong>Локальные пользователи и группы</strong> и попробуйте изменить пароль для своей доменной учетной записи.</p><h2>Применение политики безопасности для объекта групповой политики с контроллера домена Windows Server 2008 R2</h2><br /> <p>При помощи этого примера, изменим число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Эта политика позволяет вам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться в течении нескольких раз. Войдите на контроллер домена или используйте средства администрирования удаленного сервера. Выполните следующие действия:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong> - в диалоговом окне <strong>Выполнить</strong>, в поле <strong>Открыть</strong> введите <em>gpmc.msc</em> и нажмите на кнопку <strong>ОК</strong>;</li><li>В контейнере <strong>Объекты групповой политики</strong> щелкните правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-06.jpg alt=* width=480 height=291/></p><li>В поле <strong>Имя</strong> введите название объекта GPO, например <strong>Объект политики, предназначенный для тестирования</strong> и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-07.jpg alt=* width=390 height=173/></p><li>Щелкните правой кнопкой мыши на созданном объекте и из контекстного меню выберите команду <strong>Изменить</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-08.jpg alt=* width=471 height=334/></p><li>В окне <strong>Редактор управления групповыми политиками</strong> разверните узел <strong>Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей</strong>;</li><li>Откройте параметр <strong>Вести журнал паролей</strong> дважды щелкнув на нем или нажав на клавишу <strong>Enter</strong>;</li><li>В диалоге настройки параметра политики установите флажок на опции <strong>Определить следующий параметр политики</strong>, в тестовом поле введите 5 и нажмите на кнопку <strong>ОК</strong>;</li><li>Закройте оснастку <strong>Редактор управления групповыми политиками</strong>.</li><li>В консоли <strong>Управление групповой политикой</strong> нажмите правой кнопкой мыши на группе безопасности, для которой будут применяться изменения, и из контекстного меню выберите команду <strong>Связать существующий объект групповой политики</strong>. В диалоге <strong>Выбор объекта групповой политики</strong> выберите созданный вами объект, как показано на следующем скриншоте:</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-09.jpg alt=* width=453 height=404/></p><li>В фильтрах безопасности объекта политики выберите пользователя или группу, на которых будет распространяться указанные настройки.</li><br/><p><img src=http://oszone.net/figs/u/72715/100222074222/lps-10.jpg alt=* width=438 height=261/></p><li>Обновите параметры политики на клиентском компьютере при помощи команды <strong>gpupdate</strong>.</li></ol><p>Об использовании оснастки <strong>Управление групповой политикой</strong> на контроллерах домена и о команде <strong>gpupdate</strong> будет подробно рассказываться в последующих статьях.</p><h2>Заключение</h2><br /> <p>Из этой статьи вы узнали о методах применения локальных политик безопасности. В предоставленных примерах проиллюстрирована настройка политик безопасности при помощи оснастки <strong>Локальная политика безопасности</strong> на локальном компьютере, настройка политик на компьютере, подсоединенном к домену, а также управление локальными политиками безопасности с использованием контроллер домена. В следующих статьях из цикла о локальных политиках безопасности вы узнаете об использовании каждого узла оснастки <strong>Локальная политика безопасности</strong> и о примерах их использования в тестовой и рабочей среде.</p> http://www.microsoft.com/rus/business/smb/blog/41/ Microsoft for Business <h2>Введение</h2><br /><p>Так как почти во всех производственных сетях расположены мобильные клиенты, помимо всех локальных политик безопасности, которые рассматривались в предыдущих статьях, в групповой политике <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a>/2008 R2 обеспечены параметры конфигурации клиентов для безопасного подключения к беспроводным точкам доступа IEEE 802.11. Стандарт IEEE 802.1X определяет доступ с проверкой подлинности для беспроводных подключений (IEEE 802.11). Такие параметры предназначены для определения разрешений не прошедшим проверку подлинности и неавторизированным пользователям и компьютерам подключаться к беспроводной сети. Вы можете настраивать политики беспроводной сети для клиентов Windows XP, Windows Server 2003, Windows Vista, Windows 7, а также Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a>/2008 R2. Используя данную политику безопасности, вы можете настраивать несколько профилей для подключения к одной беспроводной сети, используя обычный идентификатор беспроводной сети, при этом в каждом профиле могут быть заданы уникальные свойства безопасности. В этой статье вы узнаете о настройке локальных политик безопасности беспроводных сетей.</p><h2>Создание политики беспроводной сети для операционных систем не ниже Windows Vista</h2><br /><p>С помощью политик беспроводной сети (IEEE 802.11) Windows Vista, вы можете задать улучшенные параметры настройки беспроводной сети, безопасности и управления, которые доступны только для компьютеров с Windows Vista, <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a> и Windows Server 2008/2008 R2, использующих беспроводное подключение. Для того чтобы создать политику беспроводных сетей для операционных систем не ниже <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Windows Vista</a>, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>"Редактор управления групповыми политиками"</strong> и в дереве консоли выберите узел <strong>"Политики беспроводной сети (IEEE 802.11)"</strong>, нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>"Создание новой политики беспроводных сетей для Windows <a href=http://technet.microsoft.com/ru-ru/windows/aa904820.aspx target=_blank title=Узнайте больше о Windows Vista>Vista</a> и более поздних версий"</strong>, как показано на следующей иллюстрации;</li><br/><p><a href=http://oszone.net/figs/u/72715/101005063356/wp-01.JPG target=_blank><img src=http://oszone.net/figs/u/72715/101005063356/wp-01_mini_oszone.JPG alt=* width=480 height=278/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Создание новой политики беспроводных сетей для Windows Vista</strong></p><li>В открывшемся диалоговом окне <strong>"Новая политика для беспроводных сетей"</strong>, вы можете определить параметры, предназначенные для управления профилями беспроводных интерфейсов и определения списка предпочтительных беспроводных сетей, который задает порядок подключения клиентов, входящих в состав домена. Параметры, которые вы можете найти на вкладке <strong>"Общие"</strong>, используются для создания профилей беспроводных подключений, управления этими профилями, а также для определения списка предпочитаемых беспроводных сетей для клиентов, которые являются членами домена. На этой вкладке вы можете выполнять следующие действия:</li><ul><li><strong>Имя политики</strong>. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла <strong>"Политики беспроводной сети (IEEE 802.3)"</strong> оснастки <strong>"Редактор управления групповыми политиками"</strong>;</li><li><strong>Описание</strong>. Текущее текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети, которое также будет доступно в области сведений указанного выше узла;</li><li><strong>Использовать службу автонастройки WLAN Windows для клиентов</strong>. Эта опция выполняет реальную настройку и указывает, что для настройки подключения беспроводной сети клиентов под управлением Windows Vista и Windows 7используется служба автонастройки WLAN;</li><li><strong>Подключаться к доступным сетям в порядке перечисления профилей</strong>. В данном списке отображается предпочтительный порядок беспроводных сетей, в котором следует подключаться к сети. Вы можете добавить профиль беспроводной сети, нажав на кнопку <strong>"Добавить"</strong>. Как видно на следующей иллюстрации, нажав на эту кнопку, вы можете выбрать один из двух указанных параметров: <strong>"Инфраструктура"</strong>, которая задает сеть, использующую одну или несколько точек доступа, а также <strong>"Прямое подключение"</strong>, которое задает сеть "компьютер-компьютер". Стоит учесть, что приоритет профилей инфраструктуры всегда выше приоритета прямого подключения. Для того чтобы изменить существующий профиль, нажмите на кнопку <strong>"Изменить"</strong>, а для его удаления, соответственно, на кнопку <strong>"Удалить"</strong>. Изменять приоритеты вы можете, используя кнопку со стрелками, направленными вверх и вниз, которые находятся справа от самого списка. Помимо этого, вы можете импортировать сохраненные ранее профили подключений из xml-файла или экспортировать существующие профили в xml-файл.</li></ul><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-02.jpg alt=* width=402 height=506/></p><p><strong>Рис. 2. Вкладка "Общие" диалогового окна политики для беспроводных сетей</strong></p><li>При выборе добавляемого типа профиля откроется диалоговое окно <strong>"Свойства Новый профиль"</strong>, предназначенное для создания профилей беспроводных сетей (т.е. набор параметров конфигурации беспроводной сети, сохраняемых в виде XML-файлов), к которым могут подключаться клиенты беспроводных сетей, входящих в состав домена. В этом диалоговом окне вы можете указывать настройки профилей, расположенных на двух вкладках. Рассмотрим каждую вкладку по отдельности.</li><ul><li>На вкладке <strong>"Подключение"</strong> вы можете назначать имя профиля и указывать идентификатор SSID. Стоит обратить внимание на то, что профиль представляет собой набор параметров конфигурации для беспроводной сети, сохраненный в виде XML-файла. Как было указано ранее, профили инфраструктуры имеют больший приоритет, нежели профили прямых соединений. Вкладка <strong>"Подключение"</strong> диалогового окна <strong>"Новый профиль"</strong> профиля инфраструктуры и прямого соединения очень похожи за исключением трех последних опций и возможности добавления нескольких идентификаторов SSID для профилей инфраструктуры. На этой вкладке доступны следующие параметры:</li><ul><li><strong>Имя профиля</strong>. В текущем текстовом поле вы можете указать имя профиля, отображаемое в списке диалогового окна политики беспроводных сетей;</li><li><strong>Сетевые имена SSID</strong>. Здесь вы можете задать один (для профиля прямых соединений) или несколько (только для профилей инфраструктуры) идентификаторов SSID. SSID (Service Set Identifier) - это 32-битная строка, используемая в качестве сетевого имени (стоит запомнить, что идентификатор SSID не является MAC-адресом). Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Указанное вами значение SSID должно полностью соответствовать тому идентификатору, который указан в точке беспроводного доступа;</li><li><strong>Подключаться автоматически, если сеть в радиусе действия</strong>. Эта опция позволяет автоматически подключаться к беспроводной сети в том случае, если компьютер расположен в диапазоне вещания любой точки беспроводного доступа с указанным SSID. Эта опция доступа только для профилей инфраструктуры;</li><li><strong>Подключаться к более подходящей сети, если она есть</strong>. В том случае, если на вкладке <strong>"Общие"</strong> диалогового окна подключения к беспроводным сетям находятся несколько профилей, данная опция позволяет подключаться к самой подходящей сети из списка. Эта опция также доступна только для профилей инфраструктуры;</li><li><strong>Подключаться, даже если сеть не ведет вещание</strong>. Если активировать данную опцию, то будет выполняться активный поиск точек беспроводного доступа с указанными SSID в том случае, если в настройке точек беспроводного доступа запрещена рассылка сигналов;</li></ul><p>Данная вкладка для профиля инфраструктуры изображена на следующей иллюстрации:</p><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-03.jpg alt=* width=404 height=461/></p><p><strong>Рис. 3. Вкладка "Подключение" профиля инфраструктуры</strong></p><li>Вкладка <strong>"Безопасность"</strong> предназначена для настройки параметров безопасности в политиках беспроводной сети, которые используются для задания параметров проверки подлинности, используемых клиентами беспроводной сети. В отличие от вкладки подключения, настройки на вкладке <strong>"Безопасность"</strong> для профилей инфраструктуры и прямого соединения существенно отличаются. Сначала рассмотрим настройки вкладки <strong>"Безопасность"</strong> профиля инфраструктуры:</li><ul><li>Параметры безопасности инфраструктуры можно разделить на две части: метод безопасности для сети и метод проверки подлинности. В группе методов безопасности для сети вы можете указать способ сетевой проверки подлинности при установке связи беспроводной сети с точкой беспроводного доступа и метод шифрования системы безопасности. По умолчанию выбран наиболее безопасный метод проверки подлинности - <strong>"WPA2-предприятие"</strong>. Помимо метода проверки подлинности по умолчанию, вы также можете выбрать такие методы, как <strong>"Открыть"</strong>, <strong>"Совместная"</strong>, <strong>"WPA-предприятие"</strong>, <strong>"WPA-личное"</strong>, <strong>"WPA2-предприятие"</strong>, <strong>"WPA2-личное"</strong>, а также <strong>"Открыть с 802.1Х"</strong>. Стоит обратить внимание на то, что настройки метода проверки подлинности сети вы можете задавать только в случае, если в раскрывающемся списке <strong>"Проверка подлинности"</strong> выбраны такие методы, как <strong>"WPA-предприятие"</strong>, <strong>"WPA2-предприятие"</strong> или <strong>"Открыть с 802.1Х"</strong>. Также только при выборе метода <strong>"WPA2-предприятие"</strong> доступны настройки быстрого перемещения, которые будут рассмотрены ниже. Также как и настройки метода подлинности проверки и быстрого перемещения, метод шифрования зависит от выбранного вами метода проверки подлинности. Вы можете выбрать метод шифрования <strong>"AES"</strong> или <strong>"TKIP"</strong> в том случае, если в раскрывающемся списке <strong>"Проверка подлинности"</strong> были выбраны <strong>"WPA-предприятие"</strong>, <strong>"WPA-личное"</strong>, <strong>"WPA2-предприятие"</strong> или <strong>"WPA2-личное"</strong>. Если будет выбрано <strong>"Открыть"</strong>, <strong>"Совместная"</strong> или <strong>"Открыть с 802.1Х"</strong>, то вы сможете выбрать метод шифрования <strong>"WEP"</strong> или <strong>"Отключен"</strong>. Определение и назначение методов проверки подлинности и шифрования будут подробно рассмотрены в одной из последующих статей.</li><p>В раскрывающемся списке <strong>"Выберите метод проверки подлинности сети"</strong> вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики беспроводной сети. Доступны для выбора следующие два параметра:</p><ul><li><strong>Microsoft: Защищенные EAP (PEAP)</strong>. Для этого метода проверки подлинности, окно <strong>"Свойства"</strong> содержит параметры конфигурации используемого метода проверки подлинности;</li><li><strong>Microsoft: смарт-карты или другой сертификат</strong>. Для этого метода проверки подлинности, в окне <strong>"Свойства"</strong> предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации;</li></ul><p>По умолчанию выбран метод <strong>Microsoft: защищенные EAP (PEAP)</strong>;</p><p>Опция <strong>"Режим проверки подлинности"</strong> применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра;</p><ul><li><strong>Проверка подлинности пользователя или компьютера</strong>. В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности;</li><li><strong>Только для компьютера</strong>. В этом случае проверка подлинности выполняется только для учетных данных компьютера;</li><li><strong>Проверка подлинности пользователя</strong>. При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;</li><li><strong>Проверка подлинности гостя</strong>. Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.</li></ul><p>Помимо вышеперечисленных настроек, опция <strong>"Максимальное число ошибок проверки подлинности"</strong> позволяет указать максимальное число ошибок при проверке подлинности (Значение по умолчанию - 1). А опция <strong>"Кэшировать данные пользователя для последующих подключений к этой сети"</strong> позволяет сохранять пользовательские учетные данные в системном реестре при выходе пользователя из системы, причем при последующем входе учетные данные запрашиваться не будут.</p><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-04.jpg alt=* width=404 height=461/></p><p><strong>Рис. 4. Настройка безопасности профиля инфраструктуры</strong></p><li>Параметры безопасности прямого соединения имеют более скромные настройки. Здесь вы можете указать только три метода проверки подлинности - <strong>"Открыть"</strong>, <strong>"Совместная"</strong> и <strong>"WPA2-личное"</strong>, а также указать для них соответствующий метод шифрования. На следующей иллюстрации отображена вкладка <strong>"Безопасность"</strong> профиля прямого соединения.</li><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-05.jpg alt=* width=404 height=443/></p><p><strong>Рис. 5. Настройка безопасности профиля прямого соединения</strong></p></ul></ul><li>После того как вы зададите необходимые настройки подключения и безопасности, нажмите на кнопку <strong>"ОК"</strong> для перехода в диалоговое окно свойств политики беспроводной сети. На вкладке <strong>"Сетевые размещения"</strong> вы можете использовать параметры, которые предназначены для определения дополнительных беспроводных сетей, а также для разрешения или запрета подключений беспроводных клиентов, входящих в состав домена. Помимо этого, на данной вкладке вы также можете заблокировать отображение дополнительных беспроводных сетей для беспроводных клиентов, входящих в состав домена. Например, параметр <strong>"Запретить подключения к сетям с прямым соединением"</strong> указывает на то, что клиенты не смогут создавать или подключаться к какой-либо сети типа "компьютер-компьютер", а параметр <strong>"Запретить подключения к сетям с инфраструктурой"</strong> запрещает подключаться к инфраструктурным сетям. На этой вкладке вы также можете найти параметры политики, которые могут применяться только к операционным системам Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a>. К этим параметра относятся параметры <strong>"Запретить размещенную сеть"</strong>, который запрещает размещение беспроводных сетей на компьютерах с операционной системой Windows 7, <strong>"Запретить общие учетные данные пользователя для сетевой проверки подлинности"</strong>, при помощи которого вы можете запретить сохранение своих учетных данных, которые компьютер может использовать для подключения к сети. Также доступен параметр <strong>"Включить период блокировки"</strong>, запрещающий компьютеру под управлением Windows 7 автоматические попытки подключения к сети в течение указанного количества времени. Эта вкладка изображена ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-051.jpg alt=* width=404 height=504/></p><p><strong>Рис. 6. Вкладка "Сетевые размещения" диалогового окна политики беспроводных сетей</strong></p><li>В том случае, если вы планируете создавать идентичные профили в другом объекте групповой политики, экспортируйте получившиеся профиля и, при необходимости, добавьте в список столько профилей, сколько вам нужно, после чего нажмите на кнопку <strong>"ОК"</strong>.</li><br /><h2>Свойства методов проверки подлинности</h2><br /><p>Как для метода проверки подлинности <strong>"Microsoft: Защищенные EAP (PEAP)"</strong>, так и для <strong>"Microsoft: Смарт-карта или иной сертификат"</strong> доступны дополнительные параметры, вызываемые по нажатию на кнопку <strong>"Свойства"</strong>. В диалоговом окне свойств выбранного вами метода проверки подлинности вы можете задать множество параметров, которые существенно переведут уровень безопасности проверки подлинности на новый уровень. Все настройки обоих методов проверки подлинности идентичны настройкам политики проводной сети и были подробно описаны в статье <a href=http://oszone.net/12908/secpol7>"Локальная политика безопасности. Часть 7: политики проводной сети"</a>. Диалоговое окно свойств защищенного EAP, вы можете увидеть на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-06.jpg alt=* width=383 height=550/></p><p><strong>Рис. 7. Диалоговое окно свойств защищенного EAP</strong></p><h3>Дополнительные параметры безопасности</h3><p>Дополнительные параметры безопасности профиля беспроводной сети могут быть применены только для профилей инфраструктуры и влияют на изменение поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. в отличие от дополнительных параметров проводной сети, дополнительные параметры беспроводной сети делятся на три группы: IEEE 802.1X, настройки единой регистрации, а также (в том случае, если был выбран метод проверки подлинности <strong>"WPA2-предприятие"</strong>) настройки быстрого перемещения. Так как настройки IEEE 802.1X и единой регистрации идентичны с дополнительными настройками проводной сети, в данной статье ниже рассмотрены только настройки быстрого перемещения.</p><p>Быстрым перемещением называется возможность WPA2, которая представляет собой предварительную проверку подлинности и кеширование парных основных ключей (PMK), позволяющие клиентам быстро переключаться между различными точками беспроводного доступа. Для настройки быстрого перемещения доступны следующие параметры:</p><ul><li><strong>Включить кэширование парных основных ключей (PMK)</strong>. Данный параметр задает кэширование парных основных ключей для быстрого перемещения WPA2;</li><li><strong>Срок жизни PMK (мин.)</strong>. Этот параметр определяет длительность хранения PMK в кэше. Значение по умолчанию - 720 минут;</li><li><strong>Число записей в кэше PMK</strong>. При помощи текущего параметра вы можете определить максимальное количество записей PMK, которое будет храниться в кэше. Значение по умолчанию - 128;</li><li><strong>Сеть использует предварительную проверку подлинности</strong>. Данную настройку целесообразно использовать только в том случае, если в настройках беспроводной точки доступа указана возможность предварительной проверки подлинности в рассылаемых сообщениях Probe Response и Beacon. Эта настройка позволяет клиентам выполнять проверку подлинности 802.1X с других точек доступа в пределах данного диапазона. При активированной данной настройке сведения сохраняются в кэше PMK. Если данная опция активна, то значение по умолчанию для следующих двух настроек будет равняться трем;</li><li><strong>Максимальное число попыток предварительной проверки подлинности</strong>. Текущий параметр определяет максимальное допустимое количество попыток предварительной проверки подлинности других беспроводных точек доступа в сети, которые расположены в диапазоне ее действия;</li><li><strong>Выполнять шифрование в сертифицированном режиме FIPS 140-2</strong>. Данный параметр определяет, что беспроводные передачи соответствуют режиму 140-2 стандарта FIPS для криптования, который используется для сертификации криптографических модулей.</li></ul><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-07.jpg alt=* width=407 height=600/></p><p><strong>Рис. 8. Дополнительные параметры безопасности</strong></p><h2>Создание политики беспроводной сети для систем Windows XP</h2><br /><p>В том случае, если в вашей корпоративной сети не все компьютеры обновлены до операционных систем Windows Vista или Windows 7, вы можете создать политику беспроводной сети для операционных систем <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a>. Параметры беспроводных сетей для Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a> включают в себя глобальные параметры беспроводных подключений, список предпочтительных сетей, параметры WEP, а также параметры 802.1Х. В диалоговом окне политики беспроводных сетей XP доступны параметры на следующих вкладках:</p><ul><li>На вкладке <strong>"Общие"</strong> вы можете указать такие параметры, как:</li><ul><li><strong>"Имя политики XP"</strong>, где вы можете указать имя профиля, отображаемое в списке диалогового окна политики беспроводных сетей;</li><li><strong>"Описание"</strong>, текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети, которое также будет доступно в области сведений указанного выше узла;</li><li><strong>"Сети для доступа"</strong>, представляет собой типы беспроводных сетей, к которым разрешается создавать подключение клиентам Windows XP. Вы можете выбрать <strong>"Любая доступная сеть (с точкой доступа)"</strong>, <strong>"Сеть по точке доступа только"</strong>, <strong>"Сеть "компьютер-компьютер" только (произв.)"</strong>;</li><li><strong>Использовать службу автонастройки WLAN Windows для клиентов</strong>. Служба автонастройки WLAN перечисляет адаптеры беспроводной сети и управляет беспроводными подключениями и профилями беспроводной связи, содержащими параметры для настройки подключения клиента к беспроводной сети. Включенная служба беспроводной настройки используется для настройки и подключения к беспроводным сетям;</li><li><strong>Автоматически подключаться к любой сети</strong>. Если активировать данную опцию, то клиенты беспроводных сетей смогут подключаться к сетям, которые не указаны как предпочтительные.</li></ul><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-08.jpg alt=* width=404 height=448/></p><p><strong>Рис. 9. Вкладка "общие" политики беспроводных сетей Windows XP</strong></p><li>На вкладке <strong>"Предпочитаемые сети"</strong> вы можете добавлять беспроводные сети. Как вы уже, наверное, заметили, данная вкладка напоминает группу <strong>"Подключаться к доступным сетям в порядке перечисления профилей"</strong> диалогового окна политики беспроводной сети Windows Vista и более поздних версий. Здесь вы также можете добавить профиль инфраструктуры и прямого соглашения, однако, их настройки будут не настолько мощными, как в профилях, которые были рассмотрены ниже. Помимо добавления, вы также можете изменять или удалять существующие профили. Как видно на следующей иллюстрации, для политики беспроводной сети XP нет возможности импорта и экспорта настроек в XML файл.</li><br/><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-09.jpg alt=* width=348 height=386/></p><p><strong>Рис. 10. Вкладка "Предпочитаемые сети" политики беспроводной сети XP</strong></p></ul><h2>Настройка профиля политики беспроводной сети XP</h2><br /><p>При добавлении профиля инфраструктуры или прямого соединения открывается диалоговое окно <strong>"Свойства: Новая предпочитаемая настройка"</strong>, в которой вы можете указать сетевое имя SSID, описание для создаваемого профиля, выполнять активный поиск точек беспроводного доступа с указанными SSID в том случае, если в настройке точек беспроводного доступа запрещена рассылка сигналов. Помимо этого, вы можете настраивать метод проверки подлинности (методы проверки подлинности в профилях беспроводной сети XP могут быть <strong>"Открыть"</strong>, <strong>"Совместная"</strong>, <strong>"WPA"</strong>, <strong>"WPA2"</strong>, а также <strong>"Открыть с 802.1Х"</strong>, где <strong>"WPA2"</strong> и <strong>"WPA"</strong> соответствуют параметрам <strong>"WPA2-предприятие"</strong> и <strong>"WPA-предприятие"</strong> в политиках беспроводной сети (IEEE 802.11) Windows Vista), а также метод шифрования, в зависимости от выбранного метода проверки подлинности. При выборе параметра WPA2 становятся доступны дополнительные параметры для быстрого перемещения, параметры которых идентичны тем, которые были описаны ранее. Данная вкладка отображена на следующей иллюстрации:</p><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-10.jpg alt=* width=404 height=500/></p><p><strong>Рис. 11. Вкладка "Свойства сети" профиля беспроводной политики XP</strong></p><p>Все параметры, расположенные на вкладке IEEE 802.1X доступны только в том случае, если вы добавляете профиль инфраструктуры. Как видно со следующей иллюстрации, на этой вкладке флажок <strong>"Управлять сетевым доступом с помощью IEEE 802.1X"</strong>, который предназначен для включения проверки подлинности IEEE 802.1Х для данной беспроводной сети, установлен по умолчанию и заблокирован от редактирования. Так же, как и в политиках проводной и беспроводной сети Windows Vista, при помощи соответствующих раскрывающихся меню вы можете выбрать метод и режим проверки подлинности. Стоит отметить группу <strong>"EAPOL-сообщение"</strong>, в которой вы можете указать, следует ли передавать пакеты сообщения EAPOL (Extensible Authentication Protocol over LAN), и, если следует, инструкции по их передаче. В данном диалоговом окне, группа IEEE 802.1X идентична одноименной группе, расположенной в дополнительных параметрах безопасности политики проводной и беспроводной сети Windows Vista.</p><p><img src=http://oszone.net/figs/u/72715/101005063356/wp-11.jpg alt=* width=404 height=500/></p><p><strong>Рис. 12. Вкладка с насройками IEEE 802.1X профиля политики беспроводной сети XP</strong></p><p>Помимо этого, если ваш парк компьютеров уже переведен на операционные системы Windows Vista или Windows 7, но в объекте групповой политики создана только политика беспроводной сети XP, вы можете обновить данную политику до последней версии. Для этого, в области сведений, выберите данную политику, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду <strong>"Миграция политики XP в политику Vista"</strong>, причем после обновления вы можете удалить текущую политику в автоматическом режиме.</p><h2>Заключение</h2><br /><p>В этой статье вы узнали об очередных локальных политиках безопасности - о политиках беспроводной сети IEEE 802.1X. Вы научились настраивать данную политику безопасности, в частности, настраивать несколько профилей для подключения к одной беспроводной сети, используя обычный идентификатор беспроводной сети. Были рассмотрены политики беспроводных сетей Windows Vista и политики беспроводной сети для Windows XP.</p></ol> http://www.microsoft.com/rus/business/smb/blog/40/ Microsoft for Business <p>Windows Small Business Server 2011 Standard фактически является флагманом всей современной линейки продуктов Microsoft специально разработанных для малого бизнеса. В&nbsp;нем объединено все, что требуется от&nbsp;корпоративной IT-инфраструктуры, при исключительно простых развертывании, настройке и&nbsp;администрировании. Разработчикам удалось совместить в&nbsp;одном продукте такое количество функций, что SBS 2011 предоставляет организации практически такие&nbsp;же возможности, как и&nbsp;инфраструктура крупных предприятий, реализованная чуть&nbsp;ли не&nbsp;на&nbsp;десятке серверов. Построенный на&nbsp;основе Windows Server 2008&nbsp;R2, являющегося последней, наиболее стабильной и&nbsp;надежной версией серверов, SBS 2011 Standard обладает всеми преимуществами новой платформы. Но&nbsp;в&nbsp;отличие от&nbsp;традиционного сервера, он&nbsp;представляет собой сервер решений. То&nbsp;есть оптимизированный для выполнения задач обслуживания бизнеса комплекс, в&nbsp;который интегрированы все необходимые компоненты и&nbsp;средства управления, позволяющие начать его использование прямо из&nbsp;коробки, без необходимости привлечения высококлассных специалистов. Имеющиеся в&nbsp;нем мастера гарантируют правильную установку сервера, оптимальную настройку всей инфраструктуры организации и&nbsp;простое администрирование компьютерной техники даже начинающим IT-специалистом.</p><p>Использование в&nbsp;организации Windows Small Business Server 2011 Standard позволяет решить следующие основные задачи:</p><p>- Безопасная аутентификация пользователей </p><p>- Простое управление</p><p>- Доступ пользователей к&nbsp;общим файлам и&nbsp;принтерам</p><p>- Удаленный доступ</p><p>- Резервное копирование</p><img src=../../imgs/blogs/39/image1.jpg alt= width=90% /></p><p>Сразу после установки запускается SBS-консоль со&nbsp;списком первоочередных задач по&nbsp;настройке корпоративной инфраструктуры организации и&nbsp;индикаторами состояния сервера.</p><p>Это позволяет системному администратору очень быстро настроить все, что необходимо для нормального функционирования компьютерной техники. И&nbsp;при малейших проблемах получить подробную информацию о&nbsp;возникшем инциденте и&nbsp;способах его устранения. Прямо из&nbsp;списка первоочередных задач у&nbsp;администратора есть возможность запустить мастера, максимально упрощающие решение каждой из&nbsp;указанных в&nbsp;нем задач. После завершения задачи, администратор имеет возможность пометить ее&nbsp;как выполненную, что позволяет наглядно отслеживать ход настройки.</p><img src=../../imgs/blogs/39/image2.jpg alt= width=90% /></p><p>Также просто осуществляется подключение к&nbsp;серверу компьютеров сотрудников. Для этого достаточно набрать в&nbsp;адресной строке браузера клиентского компьютера "http://connect", скачать и&nbsp;запустить находящийся по&nbsp;этому адресу файл, и&nbsp;ввести в&nbsp;появившемся окне учетные данные пользователя. Все остальные действия мастер выполнит автоматически. Остальные задачи администрирования тоже не&nbsp;вызовут ни&nbsp;каких сложностей и&nbsp;с&nbsp;ними легко сможет справится даже человек имеющий только базовые знания по&nbsp;компьютерной технике. При этом есть возможность очень гибко настраивать все параметры. Особое внимание уделено наглядности и&nbsp;упрощению настройки авторизации пользователей и&nbsp;прав доступа. Прямо из&nbsp;консоли управления SBS-сервера есть возможность управления не&nbsp;только пользователями и&nbsp;группами организации, но&nbsp;и&nbsp;возможность назначения прав доступа на&nbsp;основе ролей, что значительно ускоряет и&nbsp;упрощает администрирование.</p><img src=../../imgs/blogs/39/image3.jpg alt= width=90% /></p><p>Windows Small Business Server 2011 Standard значительно упрощает жизнь и&nbsp;работу, не&nbsp;только системному администратору, но&nbsp;и&nbsp;всем пользователям. Например, веб-доступ к&nbsp;серверу позволяет каждому пользователю, откуда угодно, получить единую точку доступа ко&nbsp;всей необходимой для работы информации. При чем, для этого ему потребуется только браузер. </p><img src=../../imgs/blogs/39/image4.jpg alt= width=90% /></p><p>Значительно упрощается поиск нужной информации и&nbsp;повышается безопасность работы с&nbsp;конфиденциальными данными, потому, что вся информация хранится на&nbsp;сервере, и&nbsp;каждый сотрудник имеет доступ только к&nbsp;той информации, которая нужна ему по&nbsp;работе.</p><p>В&nbsp;состав Windows Small Business Server 2011 Standard входит самая новая версия программного продукта для совместной работы и&nbsp;обмена сообщениями Exchange Server 2010, которая позволяет организовать совместное планирование и&nbsp;работу всех сотрудников организации. А&nbsp;также обеспечивает работу корпоративной почты, совместное использование календарей, обмен сообщениями и&nbsp;контроль. Причем, имеющиеся в&nbsp;Exchange средства позволяют обеспечить очень высокий уровень безопасности и&nbsp;гарантируют защиту конфиденциальной информации, которой могут обмениваться сотрудники.</p><p>Еще один компонент этой редакции SharePoint Foundation позволяет создать внутренний веб-узел организации, который также может быть опубликован в&nbsp;интернете. На&nbsp;корпоративном веб-узле организации есть возможность размещать общие документы, календари, задачи, различные библиотеки. Публиковать фотографии, объявления, ссылки на&nbsp;различные ресурсы. Проводить опросы и&nbsp;обсуждения по&nbsp;самым различным темам.</p><img src=../../imgs/blogs/39/image5.jpg alt= width=90% /></p><p>Также имеются очень мощные средства, которые позволяют легко и&nbsp;наглядно управлять документами, библиотеками и&nbsp;всем остальным содержимым корпоративного узла непосредственно из&nbsp;браузера, без использования какого либо специального программного обеспечения и&nbsp;специальной подготовки. В&nbsp;то&nbsp;же время есть возможность, в&nbsp;случае необходимости, ограничить права доступа к&nbsp;любому документу или иному содержимому веб-узла, что гарантирует предотвращение несанкционированных изменений и&nbsp;защищает материалы от&nbsp;непреднамеренного или случайного удаления.</p><img src=../../imgs/blogs/39/image6.jpg alt= width=90% /></p><p>Значительно повысить безопасность всей корпоративной сети организации помогает компонент WSUS (Windows Server Update Services)&nbsp;- сервер обновлений, который синхронизируется с&nbsp;сайтом Microsoft, скачивая обновления и&nbsp;распространяя их&nbsp;внутри корпоративной локальной сети. Это экономит внешний трафик организации и&nbsp;позволяет быстрее устанавливать исправления ошибок и&nbsp;уязвимостей в&nbsp;операционных системах Windows на&nbsp;рабочих местах, а&nbsp;также позволяет централизованно управлять обновлениями серверов и&nbsp;рабочих станций. А&nbsp;защиту от&nbsp;аппаратных сбоев всей хранящейся на&nbsp;сервере информации обеспечивают средства резервного копирования. </p><p>Благодаря использованию новейших технологий Windows Small Business Server 2011 Standard позволяет обеспечить полноценное решение практически всех задач, которые могут возникнуть перед IT-инфраструктурой организации, в&nbsp;которой работает до&nbsp;75&nbsp;пользователей.<wbr/><wbr/></p> http://www.microsoft.com/rus/business/smb/blog/39/ Microsoft for Business <p>Практически каждому пользователю Microsoft Excel приходится сталкиваться с большими таблицами однородной информации - списками клиентов, товаров, продаж и т.п. Одна строка в такой таблице представляет собой запись - обычно, один законченный автономный объект (человек, продукт, договор), описываемый набором полей, т.е. столбцов (ФИО, название, категория):<img src=../../imgs/blogs/38/table1.gif alt= width=90% /></p><p>Естественно, с такой таблицей постоянно приходится работать (сортировать, фильтровать, считать по ней что-то). Плюс ко всему, ее содержимое периодически изменяется (добавляются строки-столбцы, удаляется или редактируется информация), что приводит к необходимости исправления ссылок в формулах, отчетах и сводных таблицах, использующих наш список как источник данных.</p><p>Как же облегчить себе жизнь, работая с такой объемной, меняющейся в размерах таблицей? В Microsoft Excel 2007/2010 появилось для таких случаев красивое решение.</p><p>Выделяем любую ячейку в таблице и на вкладке <strong>Главная</strong><strong> (Home)</strong> разворачиваем список <strong>Форматировать как таблицу </strong><strong>(Format as table)</strong>:</p><p><img src=../../imgs/blogs/38/table2.gif width=90% /></p><p>В раскрывшемся списке стилей выбираем любой вариант заливки на наш вкус и цвет и в окне подтверждения выделенного диапазона жмем <strong>ОК</strong> и получаем на выходе примерно следующее:<img src=../../imgs/blogs/38/table5.gif width=90% /></p><p>Подавляющее большинство пользователей, которых я видел на своих тренингах, абсолютно уверены, что кроме приятного дизайна эта функция ничего больше и не делает - что это просто усовершенствованный вариант функции <strong>Автоформат</strong> из прошлых версий Excel. О, нет! Не все так просто. Красивый дизайн здесь, скорее, приятный дополнительный бонус на фоне более ценных приобретений.</p><p>А именно:</p><ol><li> Созданная один раз <em>Таблица</em> <strong>автоматически подстраивается в размерах</strong> при добавлении или удалении в нее данных. Если дописать к такой <em>Таблице</em> новые строки - она растянется ниже, если добавить новые столбцы - разойдется вширь. В правом нижнем углу <em>Таблицы</em> можно увидеть автоматически перемещающийся маркер границы и, при необходимости, скорректировать его положение мышью:<img src=../../imgs/blogs/38/table3.gif alt= width=90% /></li></ol><ol start=2><li> <p>Созданная <em>Таблица</em> <strong>получает имя</strong> <em>Таблица1,2,3</em> и т.д. которое, можно изменить на более адекватное на вкладке <strong>Конструктор </strong><strong>(Design)</strong>. Это имя можно использовать в любых формулах и функциях, например в качестве источника данных для <a href=http://www.planetaexcel.ru/tip.php?aid=129><strong>сводной таблицы</strong></a> или массива поиска для <a href=http://www.planetaexcel.ru/tip.php?aid=26><strong>функции ВПР (VLOOKUP)</strong></a>. </p></li><li>В шапке <em>Таблицы</em> автоматически <strong>включается Автофильтр</strong> (можно принудительно отключить на вкладке <strong>Данные </strong><strong>(Data)</strong>). </li><li>При добавлении новых строк в них автоматически <strong>копируются все формулы</strong>. </li><li>При создании нового столбца с формулой - она будет автоматически скопирована на весь столбец - <strong>не надо тянуть формулу черным крестом автозаполнения</strong> сверху донизу! </li><li> При прокрутке <em>Таблицы </em>вниз <strong>заголовки столбцов (A, B, C...) меняются на названия полей</strong>, т.е. уже можно не закреплять шапку диапазона как раньше. В Excel 2010 там же доступны и разворачивающие кнопки автофильтра:<img src=../../imgs/blogs/38/table4.gif alt= width=90% /></li></ol><ol start=7><li>Включив флажок <strong>Показать итоговую строку </strong><strong>(Total row)</strong> на вкладке <strong>Конструктор </strong><strong>(Design)</strong> мы получаем автоматическую строку итогов в конце <em>Таблицы</em> с возможностью выбора функции (сумма, среднее, количество и т.д.) по каждому столбцу персонально:<img src=../../imgs/blogs/38/table6.gif alt= width=90% /></li></ol><ol start=8><li>При фильтрации данных содержимое итоговой строки будет автоматически изменяться, отображая итоги по отфильтрованным данным.</li></ol><blockquote><p>К данным в <em>Таблице </em>можно адресоваться, <strong>используя имена отдельных ее элементов</strong>. Например, для суммирования всех чисел в столбце НДС можно воспользоваться формулой <strong>=СУММ(Таблица1[НДС])</strong> вместо <strong>=СУММ(F2:F200)</strong> и не думать уже про размеры таблицы, количество строк и корректность диапазонов выделения. Также возможно использовать еще следующие операторы (предполагается, что таблица имеет стандартное имя <em>Таблица1</em>):</p></blockquote><ul><li><strong>=Таблица1[#Все]</strong> - ссылка на всю таблицу, включая заголовки столбцов, данные и строку итогов </li><li><strong>=Таблица1[#НДС]</strong> - ссылка на все данные из столбца с названием "НДС" </li><li><strong>=Таблица1[#Данные]</strong> - ссылка только на данные (без строки заголовка) </li><li><strong>=Таблица1[#Заголовки]</strong> - ссылка только на первую строку таблицы с заголовками столбцов </li><li><strong>=Таблица1[#Итоги]</strong> - ссылка на строку итогов (если она включена) </li><li><strong>=Таблица1[#Эта строка]</strong> - ссылка на текущую строку, например формула =Таблица1[[#Эта строка];[НДС]] - будет ссылаться на значение НДС из текущей строки таблицы.<br /><br />(В англоязычной версии эти операторы будут звучать, соответственно, как #All, #Data, #Headers, #Totals и #This row). </li></ul><h2>P.S.</h2><ol><li>В подобных "умных" таблицах не работает функция подведения <strong>Промежуточных итогов (</strong><strong>Subtotals</strong><strong>)</strong> с вкладки <strong>Данные (</strong><strong>Data</strong><strong>)</strong>.</li><li>При необходимости, такую "умную" таблицу можно легко преобразовать обратно в "обычную". Для этого на вкладке <strong>Конструктор (</strong><strong>Design</strong><strong>)</strong> нажмите кнопку <strong>Преобразовать в диапазон (</strong><strong>Convert</strong><strong> </strong><strong>to</strong><strong> </strong><strong>range</strong><strong>)</strong>. Дизайн при этом сохраняется, а формулы внутри таблицы будут преобразованы в классические.</li></ol> http://www.microsoft.com/rus/business/smb/blog/38/ Microsoft for Business <h2>Описание доклада</h2><br /> <p>Настройка InfoPath Form service в SharePoint 2010. Создание шаблонов InfoPath и развёртывание их в SharePoint 2010.</p><div align=center><script type=text/javascript> function ChangeLink(IsSilverLight) {var silverLink = document.getElementById('silverlightLink');var mediaLink = document.getElementById('WindowsMediaLink');var silverPlayer = document.getElementById('silverlightPlayer');var mediaPlayer = document.getElementById('MediaPlayer');if (IsSilverLight) {silverLink.style.display = 'none';mediaLink.style.display = 'block';silverPlayer.style.display = 'block';mediaPlayer.style.display = 'none'; }else {mediaLink.style.display = 'none';silverLink.style.display = 'block';silverPlayer.style.display = 'none';mediaPlayer.style.display = 'block';}}function onSilverlightError(sender, args) { var appSource = ;if (sender != null && sender != 0) {appSource = sender.getHost().Source;}var errorType = args.ErrorType;var iErrorCode = args.ErrorCode; var errMsg = Unhandled Error in Silverlight 2 Application + appSource + \n; errMsg += Code: + iErrorCode + \n;errMsg += Category: + errorType + \n;errMsg += Message: + args.ErrorMessage + \n; if (errorType == ParserError) {errMsg += File: + args.xamlFile + \n;errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}else if (errorType == RuntimeError) {if (args.lineNumber != 0) {errMsg += Line: + args.lineNumber + \n;errMsg += Position: + args.charPosition + \n;}errMsg += MethodName: + args.methodName + \n;} throw new Error(errMsg);}</script><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfSQL id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfSQL /><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfUserId id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfUserId /><input type=hidden name=ctl00$MainPlaceHolder$TechDaysPlayerCtrl$hfMediaUrl id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl_hfMediaUrl value=http://www.techdays.in.ua/get.aspx?MID=a6347cd8-ed47-4aab-bb83-902c4e349b86 /><div id=silverlightControlHost style='height:400px;width:460px'><div id=silverlightPlayer><object data=data:application/x-silverlight-2, type=application/x-silverlight-2style='height:380px;width:460px' ><param name=source value=http://www.techdays.in.ua/TechDaysPlayer.xap /><param name=initParams value=SourceUri=http://www.techdays.in.ua/get.aspx?MID=a6347cd8-ed47-4aab-bb83-902c4e349b86&IsSilverLight=true,SimilarLecturesUrl=http://www.techdays.in.ua/HttpHandlers/LecturesHandler.ashx?Num=3543,ReplayToolTip=Replay,FrameUrl=http://www.techdays.in.ua/LectureContentImage.aspx?ContentId=a6347cd8-ed47-4aab-bb83-902c4e349b86&width={0}&height={1} /><param name=onError value=onSilverlightError /><param name=background value=white /><param name=minRuntimeVersion value=3.0.40624.0 /><param name=autoUpgrade value=true /><a href=http://go.microsoft.com/fwlink/?LinkID=124807 style=text-decoration: none;><img src='http://www.techdays.in.ua/App_Themes/9-9/images/zaglushka.png' alt=Get Microsoft Silverlight style=border-style: none /></a></object></div><div id=MediaPlayer style=display: none><OBJECT id=Player type=application/x-ms-wmp style='height:380px;width:460px'> <PARAM name=URL value=http://www.techdays.in.ua/get.aspx?MID=a6347cd8-ed47-4aab-bb83-902c4e349b86&IsSilverLight=false /><PARAM name=AutoStart value=False><PARAM name=stretchToFit value=true><PARAM name=SendPlayStateChangeEvents value=true></OBJECT></div> <iframe style='visibility: hidden; height: 0; width: 0; border: 0px'></iframe><div class=PlayerSwitcher style=text-align:center; font-size: 14px; padding-bottom: 10px;><div id=ctl00_MainPlaceHolder_TechDaysPlayerCtrl__pnlPlayerSwitcher><a id=silverlightLink href=javascript: onclick=ChangeLink(true) style=display:none>Watch using Silverlight</a><a id=WindowsMediaLink href=javascript: onclick=ChangeLink(false)>Watch using Windows Media Player</a></div></div></div></div> http://www.microsoft.com/rus/business/smb/blog/37/ Microsoft for Business <p> Диаграмма Ганта (Gantt Chart) является классическим представлением данных в управлении проектами, т.к. наглядно и удобно отображает всю информацию по срокам, критическим этапам, задержкам и ресурсам проекта:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image001.jpg width=90%/></p><p> Для построения подобного рода диаграмм можно воспользоваться как специальным программным обеспечением (Microsoft Project), так и гораздо более доступным Microsoft Excel. В нем нам придется использовать для этого особым образом настроенную линейчатую диаграмму с накоплением (Stacked Bar Chart):</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image002.jpg width=90%/></p><p> Построение такой диаграммы в Excel можно условно разбить на несколько этапов:</p><h2> ЭТАП 1. ПОДГОТОВКА ТАБЛИЦЫ ИСХОДНЫХ ДАННЫХ</h2><br/><p> Для построения диаграммы нам потребуется таблица с информацией о сроках каждого этапа следующего вида:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image003.jpg width=90%/></p><p> Даты начала и окончания этапов могут вводиться вручную, а могут и вычисляться с помощью простых формул.</p><h2> ЭТАП 2. СТРОИМ ДИАГРАММУ ДАТ НАЧАЛА</h2><br/><p> Сначала построим линейчатую диаграмму с накоплением для дат начала этапов. Для этого выделим первых два столбца нашей таблицы и вставим диаграмму, используя вкладку <em><strong>Вставка (Insert)</strong></em> и кнопку <em><strong>Линейчатая (Bar)</strong></em>:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image004.jpg width=226 height=333/></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image005.jpg width=90%/></p><h2> ЭТАП 3. ДОБАВЛЯЕМ ДЛИТЕЛЬНОСТИ</h2><br/><p> Теперь добавим к полученной диаграмме длительности каждого этапа. Для этого выделим диаграмму и на вкладке <em><strong>Конструктор (Design)</strong></em> нажмем кнопку <em><strong>Выбрать данные (Select Data)</strong></em>. В открывшемся окне воспользуемся кнопкой<em><strong> Добавить (Add)</strong></em>, чтобы дополнить нашу диаграмму новым рядом данных (третий столбец нашей таблицы):</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image006.jpg width=340 height=161/></p><p> После нажатия кнопки <strong>ОК</strong> диаграмма должна принять следующий вид:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image007.jpg width=90%/></p><h2> ЭТАП 4. НАСТРОЙКА ВНЕШНЕГО ВИДА</h2><br/><p> Диаграмма практически готова, осталось настроить ее более удобное внешнее представление. Для этого:</p><ul><li> Выделяем ряд данных <strong>Начало</strong> (синие столбцы) и обесцвечиваем их с помощью инструмента <em><strong>Заливка фигуры (Fill)</strong></em> на вкладке <em><strong>Формат (Format)</strong></em>.</li><li> Переворачиваем вертикальную ось. Для этого щелкаем по ней правой кнопкой мыши и выбираем команду <em><strong>Формат оси (Format Axis)</strong></em>. В открывшемся диалоговом окне ставим флажок <em><strong>Обратный порядок категорий (Reverse order)</strong></em>.</li><li> Настраиваем горизонтальную ось времени. Для этого щелкаем по ней правой кнопкой мыши и выбираем команду<em><strong> Формат оси (Format Axis)</strong></em>. В открывшемся диалоговом окне задаем параметры временной шкалы: </li></ul><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image008.jpg width=90%/></p><p> Также можно уточнить формат подписей и их положение в разделах (слева) <em><strong>Выравнивание (Alignment)</strong></em> и <em><strong>Число (Number)</strong></em>.</p><p> Как вариант, можно добавить к таблице еще один столбец, где будут вводиться проценты выполнения работ по каждому этапу - это добавит наглядности нашей диаграмме:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/36/image009.jpg width=90%/></p> http://www.microsoft.com/rus/business/smb/blog/36/ Microsoft for Business <p>Добрый день всем. Сегодня я хочу Вам предоставить свой опыт работы с большим количеством записей в библиотеках SharePoint 2010. А именно как оптимизировать работу, если у Вас ну очень много записей в библиотеках.</p><p>В требованиях Microsoft указано, что оптимальная работа с записями в библиотеках достигается тогда, когда количество записей в библиотеке не превышает 5000 записей.</p><p>Это максимальное число элементов списка или библиотеки, которые могут обрабатываться одновременно операцией базы данных (например, запросом), вне установленного администратором ежедневного периода времени, в течение которого число запросов не ограничено. Посмотреть требования можно здесь - <a href=http://technet.microsoft.com/ru-ru/library/cc262787.aspx target=_blank>http://technet.microsoft.com/ru-ru/library/cc262787.aspx</a></p><p>Но этот порог можно увеличить. Очень просто. Вам необходимо зайти в центр администрирования, выбрать нужное веб приложение и открыть раздел - <strong>Resource Throttling</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/35/image001.png width=404 height=171/></p><p>Но сразу предупреждаю, что если Вам время очень дорого и Вы не хотите тратить его на долгое открытие представления библиотеки, на длительную обработку данных в библиотеке, то это не ваше решение проблемы.</p><p> Но что же делать, если у меня записей ну например магическое число 300 000. </p><p> Рассмотрим мой случай. В проекте у меня было задание обрабатывать именно 300 000 записей. А именно все записи хранились в одном файлике Excel и при некой операции загружались в библиотеку SharePoint. Но во время загрузки каждая запись Excel парсилась и на основании данных записи создавался файл InfoPath по определённому шаблону. Вот такой принцип. Как Вы думаете, сколько времени на это уходило?</p><h2> Предоставлю немного фактов:</h2><br/><p> 1. При загрузке 5000 записей в одну библиотеку уходило около - 10 минут.</p><p> 2. При загрузке 10 000 записей в одну библиотеку уходило около - 40 минут</p><p> То есть видим, что время ростёт. А значит всё медленнее работает загрузка, если количество записей превышает 5000. И после того как я добавил больше 5000 записей в библиотеку, работать с ней стало очень тяжело. Время открытия представления очень возросло. Что не есть хорошо. Как же быть, что же делать.</p><p> Выход есть из этой ситуации. Для начала нам нужно разбить записи. Что это значит. Нам необходимо по каким то критериям разбить записи на разные библиотеки. У меня получилось найти эти критерии. Я разбил записи по разным библиотекам в соответствии выбранным критериям. У меня получилось не одна библиотека с огромным количеством данных, а 100 библиотек. И теперь у меня в библиотеке хранится не больше 5000 записей. Это очень хорошо. </p><h2> Совет</h2><br/><p>Если у Вас огромное количество записей, попытайтесь их разбить по определённым критериям, не хранить весь мусор в одной библиотеке.</p><p> Это что касается хранения и обработки записей. А как теперь визуально посмотреть нужные записи с разных библиотек. Всё очень просто. Вам необходимо методами CQWP вытягивать нужную Вам информацию.</p><p> И теперь при загрузке данных время не увеличивается. То есть</p><p> 1. При загрузке 5000 записей в одну библиотеку уходило около - 10 минут.</p><p> 2. При загрузке 10 000 записей в одну библиотеку уходило около - 20 минут</p><p> Остался последний вопрос. Как оптимизировать работу рабочего процесса, который загружает данные. Потому как при загрузке 300 000 уйдёт у нас около суток. Что же делать.</p><p> Всё очень просто. Нам нужно разбить загрузку данных на разные рабочие процессы. А именно файл Excel разбить на множество блоков записей и пускать их в разных рабочих процессах одновременно. Это значит, что при загрузке 10 000 записей, если мы разобьём по 5000 на два блока у нас получится два рабочих процесса. А значит по времени это займёт около 10 минут. Что в два раза увеличивает загрузку. Это очень хорошо.</p><p> Таким образом мы выигрываем и во времени. Хочу предупредить, что чем больше запущено рабочих процессов, тем больше нагрузка на сервер. Найдите для себя оптимальное решение.</p><p> Удачи Вам в нелёгком бою с большим количеством данных.</p> Response Smuggling)</p></td></tr><tr> <td> <p>Злоупотребление механизмом перенаправления ссылок </p></td><td> <p>Подмена содержимого </p></td></tr><tr> <td> <p>Избыток функционала </p></td><td> <p> Предсказуемое расположение ресурса </p></td></tr><tr> <td> <p>Инъекция нулевого байта </p></td><td> <p> Предсказуемость учетных данных/сессий </p></td></tr><tr> <td> <p>Межсайтовая подделка HTTP запросов (CSRF)</p></td><td> <p>Расширение XML макроса XML Entity Expansion</p></td></tr><tr> <td> <p>Межсайтовое выполнение сценариев (XSS)</p></td><td> <p>Расщепление HTTP запоса (HTTP Request Splitting)</p></td></tr><tr> <td> <p>Расщепление HTTP ответа (HTTP Response Splitting)</p></td><td> <p>SSI инъекция </p></td></tr><tr> <td> <p>Удаленный инклюдинг файлов </p></td><td> <p>XML-инъекция </p></td></tr><tr> <td> <p>Уязвимость форматной строки </p></td><td> <p>XPath инъекция </p></td></tr><tr> <td> <p>Целочисленное переполнение </p></td><td> <p>XQuery-инъекция </p></td></tr></tbody></table><p>Согласно статистике WASC (<a href=http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics target=_blank>http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics</a>), большинство Web приложений содержат следующие уязвимости:</p><p> Межсайтовое выполнение сценариев - 43%</p><p> Утечка данных - 31%</p><p> Внедрение операторов SQL (SQL-инъекция) - 5%</p><h2> Заключение</h2><br/><p> В этой части статьи я рассказал о существующих угрозах безопасности для Web приложений. В следующей части статьи будут подробно описаны самые распространенные уязвимости с примерами их эксплуатации. </p> http://www.microsoft.com/rus/business/smb/blog/35/ Microsoft for Business <h2>Введение</h2><br/><p>В первой части этой статьи мы рассмотрели структуру Web сайта и описали компоненты, которые могут подвергаться хакерским атакам. В этой части статьи я подробно расскажу о существующих угрозах безопасности.</p><h2>1. Статистика</h2><br/><p>В этой статье будет приведена статистика сервиса регистрации взломов Web сайтов zone-h.org. Цифры, указанные ниже, собраны в период с 2000 до сентября 2010 года. К сожалению, настоящие цифры отличаются от приведенных в таблице в несколько раз, т.к. zone-h.org не может регистрировать абсолютно все случаи взломов сайтов.</p><table> <tbody> <tr> <td rowspan=2> <p> <strong>Год</strong></p></td><td colspan=2> <p><strong>Общее количество дефейсов / семейство ОС</strong></p></td></tr><tr> <td> <p>Linux (все дистрибутивы)</p></td><td> <p>Windows (все версии)</p></td></tr><tr> <td> <p>2000</p></td><td> <p>931</p></td><td> <p>2587</p></td></tr><tr> <td> <p>2001</p></td><td> <p>4080</p></td><td> <p>13549</p></td></tr><tr> <td> <p>2002</p></td><td> <p>22693</p></td><td> <p>43441</p></td></tr><tr> <td> <p>2003</p></td><td> <p>191720</p></td><td> <p>58571</p></td></tr><tr> <td> <p>2004</p></td><td> <p>247113</p></td><td> <p>119402</p></td></tr><tr> <td> <p>2005</p></td><td> <p>276294</p></td><td> <p>179945</p></td></tr><tr> <td> <p>2006</p></td><td> <p>446039</p></td><td> <p>258129</p></td></tr><tr> <td> <p>2007</p></td><td> <p>305968</p></td><td> <p>139427</p></td></tr><tr> <td> <p>2008</p></td><td> <p>352449</p></td><td> <p>141061</p></td></tr><tr> <td> <p>2009</p></td><td> <p>378728</p></td><td> <p>143151</p></td></tr><tr> <td> <p>2010</p></td><td> <p><strong>1126987</strong></p></td><td> <p>219419</p></td></tr></tbody></table><p>Табл. №1. Общая статистика по взлому Web сайтов с разделением на ОС</p><p> <img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/34/image001.gif width=481 height=289/></p><p> Рис. 1. Визуальное представление статистики по дефейсам Web сайтов за 2000-2010 гг.</p><p> Как мы видим, в 2010 году произошло очень важное событие с точки зрения безопасности. Кроме роста количества взломов было зарегистрировано рекордное количество компрометаций сайтов под управлением ОС Linux. Большинство компрометаций было связанно с уязвимостью в ядре ОС Linux (CVE-2010-3301), которая позволяла повысить свои привилегии на системе. В большинстве случаев, злоумышленники получали доступ к системе через уязвимость в Web приложении, затем получали доступ с привилегиями суперпользователя к ОС и осуществляли компрометацию всех сайтов, находящихся на этой системе. </p><p> В следующей таблице приведен список ТОП 10 Web серверов, скомпрометированных в 2010 году.</p><table> <tbody> <tr> <td> <p> <strong>Web сервер</strong></p></td><td> <p><strong>Количество компрометаций</strong></p></td></tr><tr> <td> <p>Apache</p></td><td> <p>1095982</p></td></tr><tr> <td> <p>IIS/6.0</p></td><td> <p>195154</p></td></tr><tr> <td> <p>nginx</p></td><td> <p>40640</p></td></tr><tr> <td> <p>LiteSpeed</p></td><td> <p>37795</p></td></tr><tr> <td> <p>Zeus</p></td><td> <p>14111</p></td></tr><tr> <td> <p>Unknown</p></td><td> <p>10763</p></td></tr><tr> <td> <p>IIS/7.0</p></td><td> <p>10433</p></td></tr><tr> <td> <p>IIS/5.0</p></td><td> <p>6109</p></td></tr><tr> <td> <p>IIS/7.5</p></td><td> <p>4002</p></td></tr></tbody></table><p>Табл. №2. Количество компрометаций сайтов в 2010 году для ТОП 10 Web серверов.</p><p> <img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/34/image002.gif width=481 height=357/></p><p> Рис. 2. Диаграмма представления ТОП 10 Web серверов по количество взломанных сайтов в 2010 году.</p><p> Следующая таблица содержит данные по самым распространенным методам атак, которые использовались для взлома Web сайтов:</p><table> <tbody> <tr> <td colspan=4> <p> <strong>Методы взлома Web приложений</strong></p></td></tr><tr> <td> <p><strong>Метод/год</strong></p></td><td> <p><strong>2008</strong></p></td><td> <p><strong>2009</strong></p></td><td> <p><strong>2010</strong></p></td></tr><tr> <td> <p>Инклюдинг файлов</p></td><td> <p>90801</p></td><td> <p>95405</p></td><td> <p>634620</p></td></tr><tr> <td> <p>Атаки на пароли (кража, прослушивание)</p></td><td> <p>33141</p></td><td> <p>24386</p></td><td> <p>220521</p></td></tr><tr> <td> <p>SQL-инъекция</p></td><td> <p>32275</p></td><td> <p>57797</p></td><td> <p>98250</p></td></tr><tr> <td> <p>Уязвимость Web сервера</p></td><td> <p>8334</p></td><td> <p>9820</p></td><td> <p>18976</p></td></tr><tr> <td> <p>Уязвимость FTP сервера</p></td><td> <p>32521</p></td><td> <p>11749</p></td><td> <p>15619</p></td></tr><tr> <td> <p>Уязвимость SSH сервера</p></td><td> <p>6231</p></td><td> <p>4624</p></td><td> <p>15214</p></td></tr><tr> <td> <p>Ошибка конфигурации</p></td><td> <p>N/A</p></td><td> <p>N/A</p></td><td> <p>13901</p></td></tr><tr> <td> <p>Подмена URL</p></td><td> <p>5970</p></td><td> <p>6294</p></td><td> <p>13191</p></td></tr><tr> <td> <p>Атаки на административные панели (подбор пароля)</p></td><td> <p>9991</p></td><td> <p>6862</p></td><td> <p>12132</p></td></tr><tr> <td> <p>Подбор пароля</p></td><td> <p>N/A</p></td><td> <p>N/A</p></td><td> <p>10145</p></td></tr></tbody></table><p>Табл. №3. Топ 10 методов взлома Web сайтов</p><p> Как видно из таблицы №3, взлом сайта происходит не только из-за наличия уязвимостей в Web приложениях, но и из-за уязвимостей в серверном ПО, которое установлено на атакуемых серверах.</p><h2> 2. Классификация угроз</h2><br/><ol> <li><strong>Угроза</strong> - Потенциальное нарушение безопасности - ISO 7498-2</li><li><strong>Воздействие</strong> - Последствия для организации или окружения, которые возникают вследствие проведения атаки или обнаружения уязвимости.</li><li><strong>Атака</strong> - Преднамеренные действия, которые, в случае успеха, приведут к повреждению информационного актива или неправомерным действиям над активом.</li><li><strong>Уязвимость</strong> - брешь или множественные бреши в приложении, которыми может воспользоваться злоумышленник для реализации неправомерных действий.</li><li><strong>Брешь</strong> - Тип ошибки в программном обеспечении, который может привести при определенных обстоятельствах, к уязвимости в приложении. </li><li><strong>Ошибка </strong>- необработанное исключение</li></ol><h2>Полный список угроз для Web приложения (классификация WASC).</h2><br/><table> <tbody> <tr> <td colspan=2> <p> <strong>Угрозы </strong></p></td></tr><tr> <td> <p>Атака грубой силы (брут-форс)</p></td><td> <p>Обход каталога (обратный путь в директорию)</p></td></tr><tr> <td> <p>Внедрение LDAP операторов </p></td><td> <p>Обход маршрутизации </p></td></tr><tr> <td> <p>Внедрение в сессию пользователя </p></td><td> <p>Определение по отпечаткам </p></td></tr><tr> <td> <p>Внедрение операторов SQL (SQL-инъекция)</p></td><td> <p>Отказ в обслуживании </p></td></tr><tr> <td> <p>Внедрение почтовых команд </p></td><td> <p>Переполнение XML атрибутами (XML Attribute Blowup)</p></td></tr><tr> <td> <p>Внешние XML макросы (XML External Entities - XXE)</p></td><td> <p>Переполнение буфера </p></td></tr><tr> <td> <p>Выполнение команд ОС </p></td><td> <p>Подмена HTTP запроса (HTTP Request Smuggling)</p></td></tr><tr> <td> <p>Злоупотребление массивом SOAP</p></td><td> <p>Подмена HTTP ответа (HTTP Response Smuggling)</p></td></tr><tr> <td> <p>Злоупотребление механизмом перенаправления ссылок </p></td><td> <p>Подмена содержимого </p></td></tr><tr> <td> <p>Избыток функционала </p></td><td> <p> Предсказуемое расположение ресурса </p></td></tr><tr> <td> <p>Инъекция нулевого байта </p></td><td> <p> Предсказуемость учетных данных/сессий </p></td></tr><tr> <td> <p>Межсайтовая подделка HTTP запросов (CSRF)</p></td><td> <p>Расширение XML макроса XML Entity Expansion</p></td></tr><tr> <td> <p>Межсайтовое выполнение сценариев (XSS)</p></td><td> <p>Расщепление HTTP запоса (HTTP Request Splitting)</p></td></tr><tr> <td> <p>Расщепление HTTP ответа (HTTP Response Splitting)</p></td><td> <p>SSI инъекция </p></td></tr><tr> <td> <p>Удаленный инклюдинг файлов </p></td><td> <p>XML-инъекция </p></td></tr><tr> <td> <p>Уязвимость форматной строки </p></td><td> <p>XPath инъекция </p></td></tr><tr> <td> <p>Целочисленное переполнение </p></td><td> <p>XQuery-инъекция </p></td></tr></tbody></table><p>Согласно статистике WASC (<a href=http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics target=_blank>http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics</a>), большинство Web приложений содержат следующие уязвимости:</p><p> Межсайтовое выполнение сценариев - 43%</p><p> Утечка данных - 31%</p><p> Внедрение операторов SQL (SQL-инъекция) - 5%</p><h2> Заключение</h2><br/><p> В этой части статьи я рассказал о существующих угрозах безопасности для Web приложений. В следующей части статьи будут подробно описаны самые распространенные уязвимости с примерами их эксплуатации. </p> http://www.microsoft.com/rus/business/smb/blog/34/ Microsoft for Business <p>Воспитывая четырех детей и работая полный рабочий день, я всегда ищу способы выполнить свою работу быстрее, чтобы уделять больше времени своей семье и своим хобби. Новые и улучшенные возможности Microsoft Office 2010 предназначены для тех из нас, кто ездит в командировки, много путешествует, а также тех, кому частенько приходится ждать детей в музыкальной школе. В этой статье рассказывается о некоторых инструментах, которые я использую для работы за пределами офиса.</p><h2>Представление Backstage </h2><br/><p>Представление Microsoft Office Backstage ; в программах Office 2010 - это место, где происходит подготовка и после&shy;дующее распространение документов. Вкладка Доступ представления Backstage, которое пришло на смену меню Файл, позволяет мне выбирать места для сохранения документов. </p><p>Если я намереваюсь работать с докумен&shy;тами в офисе или в пути с помощью своего ноутбука, то я сохраняю их на жест&shy;ком диске. Если я намереваюсь путе&shy;шествовать без компьютера, то ис&shy;поль&shy;зую представление Backstage для отправки документов по электронной почте участникам группы, сохранения их на бесплатном веб-сервисе, в службе <a href=http://skydrive.live.com/ target=_blank>Windows Live SkyDrive</a>, на одном из сай&shy;тов SharePoint в интрасети своей орга&shy;ни&shy;за&shy;ции или же для публикации документа в качестве записи блога. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image001.jpg width=462 height=456/></p><p>Программы Office 2010, такие как Word, Excel, PowerPoint и OneNote, позволяют сохранять документы на внешних ре&shy;сур&shy;сах, например на сайте Windows Live SkyDrive или SharePoint. Вместо того, что&shy;бы сохранять документы на диске, переходить на сайт с помощью браузера, а затем загружать сохраненные доку&shy;менты с помощью веб-средств, сох&shy;ра&shy;няйте документы напрямую из исполь&shy;зуемой программы Office 2010. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image002.jpg width=90%/></p><p>Например, если я работаю с группой специалистов, занятых в исследо&shy;ва&shy;тель&shy;ском проекте, то могу сохранить доку&shy;менты напрямую на веб-сайт Windows Live SkyDrive. Эта бесплатная веб-служба позволяет мне точно указать, какие поль&shy;зователи могут получить доступ к папке с сохраненными документами. Все, что необходимо пользователям для доступа к документам - это идентификатор Windows Live ID. </p><h2>Хорошо, еще лучше и отлично</h2><br/><p>Ноутбук не очень подходит для работы на трибунах баскетбольной площадки или футбольного поля. Вдобавок ко все&shy;му, он бы слишком отвлекал бы моих детей от главного действа. Еще иногда мне необходимо слегка подстегнуть ход дел по проекту, даже когда для этого нет технической возможности. В таких случаях я прибегаю к помощи своего мобильного телефона.</p><p>Мобильные устройства под управлением операционной системы Windows Mobile или мобильные телефоны, на которых установлены мобильные версии популярных офисных приложений, такие как Outlook Mobile, Word Mobile, Excel Mobile и PowerPoint Mobile, позволяют работать с деловыми докумен&shy;тами за пределами офиса. Вы можете не только получать доступ к своей почте Outlook, календарю и контактам, но и от&shy;кры&shy;вать вложения электронных писем в мобильных версиях этих программ. Например, если мне необходимо просмотреть или отредактировать отчет, полученный в качестве вложения, я мо&shy;гу открыть его в Word Mobile. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image003.jpg width=285 height=379/></p><p>Даже если вы не горите желанием подготавливать целый отчет с помощью мобильного устройства, мобильные версии программ Office 2010 позволят вам стимулировать процесс реализации проектов и обеспечат комфортную работу. </p><p><strong><em>Примечание</em></strong><em>. </em><em>Пакет</em><em>Office Mobile 2010 </em><em>включает</em><em>в</em><em>себя</em><em>следующие</em><em>программы</em><em>: Word Mobile, Excel Mobile, PowerPoint Mobile, OneNote Mobile </em><em>и</em><em>SharePoint Workspace Mobile. </em><em>Outlook Mobile 2010 предварительно устанавливается на смартфонах Windows Phone и является клиентом электронной почты по умолчанию. Office Mobile 2010 не входит в состав пакетов приложений Office 2010 и Office Web Apps. Приложения Office Mobile станут доступны для телефонов Windows Phone (под управлением ОС Windows Mobile 6.5 или более поздней версии) после официального выхода Microsoft Office 2010.</em></p><p>В других случаях, когда я использую чужой компьютер, например в би&shy;бли&shy;отеке, у меня, естественно, нет доступа к файлам, которые я сохранила на своем компьютере. В этих случаях я могу получить доступ к фай&shy;лам, которые сохра&shy;нила на веб-сайте Windows Live SkyDrive. После регистрации на сайте SkyDrive я могу щелкнуть значок документа, после чего ото&shy;бра&shy;зятся команды для работы с выб&shy;ранным документом (см. рисунок). </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image004.jpg width=513 height=776/></p><p>Если выбрать команду Просмотр, созданная в Excel 2010 таблица открое&shy;тся в новой веб-версии про&shy;грам&shy;мы Excel под названием Microsoft Excel Web App. Важным преи&shy;муществом веб-приложения Excel Web App является то, что для работы с ним не требуется устанав&shy;ливать на компьютер какую-либо версию Excel. Благодаря новым веб-версиям программ Word 2010 (Word Web App), PowerPoint 2010 (PowerPoint Web App), и OneNote 2010 (OneNote Web App) мне уже не в новинку сохранять на сайте SkyDrive документы, которые мне необходимы для работы за преде&shy;лами офиса, и обращаться к ним с лю&shy;бого компьютера, на котором уста&shy;новлен веб-браузер и есть под&shy;ключение к Интернету. </p><p><em><strong>Примечание</strong>. Поддерживаемые браузеры: Windows Internet Explorer 7 или более поздней версии для Windows, Safari 4 или более поздней версии для Mac и Firefox 3.5 или более поздней версии для Windows, Mac или Linux.</em></p><p>Команда Редактировать не только открывает таблицу в веб-приложении Excel Web App, но и позволяет мне выполнять простейшее редактирование таблиц. Интерфейс веб-приложения Excel Web App аналогичен интерфейсу программы Excel (см. рисунок ниже). После внесения мною изменений с помощью Excel Web App другие пользователи смогут по-прежнему открывать измененный документ в Excel 2010, просматривать мои обновления и вносить дальнейшие изменения. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image005.jpg width=90%/></p><p>Аналогичным образом, если я сохраняю свою таблицу на сайте SharePoint 2010 в интрасети, авторизованные пользователи могут открыть эту таблицу в веб-приложении Excel Web App для ее просмотра и редактирования через браузер. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image006.jpg width=451 height=307/></p><p>Документы Word 2010, PowerPoint 2010, Excel 2010 и OneNote 2010 можно открывать, просматривать и редактировать с помощью веб-приложений на компьютерах, где не установлен набор программ Office 2010. </p><p>Веб-приложения предоставляют вам практически все возможности и функции программ Office 2010, что позволяет открывать деловые документы в приложениях, которые использовались для их создания. С точки зрения человека, которому приходится работать почти везде и всегда, я получаю больше гибкости, ведь в сложных условиях я могу работать с помощью мобильного телефона, за пределами офиса - с любого компьютера с установленным браузером, а у себя в офисе или дома - с помощью настольного компьютера или ноутбука.</p><h2>Непрерывная совместная работа</h2><br/><p>Программы Office 2010 предлагают новые и улучшенные способы совместной работы, даже когда сотрудники находятся за пределами офиса. Например, после сохранения документов на сайте Windows Live SkyDrive и предостав&shy;ления участникам группы прав на просмотр и внесение изменений, вы можете гарантировать доступ к доку&shy;мен&shy;там, даже если участники группы физически удалены друг от друга или находятся за пределами вашей организации. Веб-приложения Excel Web App и OneNote Web App позволяют редактировать документы одновременно нескольким сотрудникам, при этом всегда можно посмотреть, кто еще работает с файлом и какие изменения были сделаны.</p><p>Корпоративные пользователи, имеющие доступ к документам на сервере SharePoint 2010, могут одновременно редактировать документы Word 2010, PowerPoint 2010 и OneNote 2010. Например, если вам и вашей команде необходимо просматривать и вносить изменения в план во время конференции, каждый участник группы сможет открыть тот же самый документ Word 2010 с сайта SharePoint и внести в него свои исправления. Изменения, вносимые сотрудником, становятся видны другим авторам сразу после того, как этот сотрудник сохраняет документ. Это очень удобно.</p><h2>Проведение презентаций через Интернет</h2><br/><p>Поскольку преимущественно я работаю дистан&shy;ционно, каждую неделю я посещаю мно&shy;жество веб-конференций. Например, когда мне было необходимо рассказать о чем-то клиенту, я по традиции отправляла ему электронное письмо с презентацией PowerPoint, а затем просила открыть ее и перелистывать слайды во время моего рассказа. Однако это было не очень удобно, поскольку мне приходилось по&shy;стоян&shy;но просить клиентов перейти к сле&shy;дую&shy;щему слайду. При этом часто слайды, открытые клиентом, не совпадали с теми, которые я комментировала.</p><p>Широковещательный показ слайдов в PowerPoint 2010 позволяет мне демон&shy;стрировать презентации PowerPoint клиенту через браузер. Служба PowerPoint Broad&shy;cast Service бесплатна, а найти ее можно на вкладке Доступ представления Backstage программы PowerPoint 2010. После начала вещания я отправляю участникам мгно&shy;вен&shy;ное сообщение со ссылкой на трансляцию (можно настроить PowerPoint на отправку электронного письма вместо мгновенного сообщения). На рисунке показано типичное приглашение в виде мгновенного сообщения. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image007.jpg width=498 height=478/></p><p>Клиент щелкает на ссылку, после чего открывается браузер, в котором отображается моя презентация PowerPoint (см. ниже). </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image008.jpg width=90%/></p><p>Когда я перехожу к следующему слайду на своем компьютере, служба широковещательного показа слайдов в PowerPoint синхронно меняет слайд на компьютере клиента. Широковещательный показ слайдов можно использовать и для мобильных устройств.</p><h2>Автономная работа с документами</h2><br/><p>В пути иногда могут потребоваться файлы и данные, хранящиеся на сайтах SharePoint 2010 в интрасети вашей организации. Например, если ваша команда совместно работает над исследовательским проектом, и вы должны иметь возможность работать даже в самолете, когда у вас нет подключения к корпоративной сети, то раньше вам пришлось бы сначала загружать файлы из сети, а по возвращении размещать их в сети снова. Этот метод работы можно было использовать на практике, однако вы рисковали перезаписать изменения, сделанные другими сотрудниками во время вашего отсутствия в офисе.</p><p>Решение Microsoft SharePoint Workspace 2010 (прежнее название Groove) было создано для того, чтобы позволить вам и вашей команде взять файлы с сайта SharePoint 2010 в интрасети с собой, а после повторного подключения синхронизировать изменения с файлами на сервере. Рабочая область SharePoint (см. рисунок ниже) содержит общие файлы, список участников группы в рабочей области, а также команды для отправки сообщений всем участникам, добавления новых документов или приглашения новых пользователей. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/33/image009.jpg width=90%/></p><p>SharePoint Workspace 2010 также является великолепным инструментом для синхронизации файлов между пользователями, когда эти файлы не хранятся на сайте SharePoint 2010. Например, если файлы имеют слишком большой размер для хранения на сайте SharePoint 2010 в интрасети или не все пользователи имеют доступ к сайтам SharePoint вашей организации, то вместо создания рабочей области SharePoint можно создать рабочую область Groove. Рабочая область Groove сохраняет изменения в файлах, синхронизированных между всеми пользователями, даже если они работают в различных сетях.</p><h2>Делайте больше, где бы вы ни находились</h2><br/><p>Поскольку мы все стремимся к равновесию между работой и жизнью, вы можете использовать некоторые из инстру&shy;ментов, упомянутых в этой статье, чтобы найти такое равновесие. Начните знакомство с новыми возможностями программы Office 2010 с представления Backstage, централизованно сохраняйте документы в службе Windows Live SkyDrive или на сайте SharePoint, повысьте эффективность совместной работы с помощью функции совместного редактирования, попробуйте провести презентацию через Интернет и синхронизировать файлы с помощью SharePoint Workspace 2010. </p><h2><em>Об авторе </em></h2><br/><p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе. </em></p> http://www.microsoft.com/rus/business/smb/blog/33/ Microsoft for Business <p>Если ваш день состоит из череды собраний и их планирования, вам могут пригодиться новые инструменты планирования.</p><p>Поскольку я работаю дистанционно, я редко лично посещаю собрания. Однако мне необходимо ежедневно принимать участие в собраниях с помощью конференц-связи. В этой статье я расскажу о некоторых способах использования программ Office 2010, например программы Outlook, для управления своим деловым расписанием, а следовательно, своей жизнью.</p><h2>Способы экономии времени</h2><br/><p>Впервые открыв программу Office 2010 (Word, Excel, PowerPoint или Outlook) вы замечаете, что верхняя часть окна содержит вкладки с большим количеством элементов, напоминающих кнопки. Эта область окна называется лентой. Доступность команд зависит от контекста, что позволяет отображать инструменты, которые могут потребоваться для решения текущих задач.</p><p>Например, как показано на следующем рисунке, после открытия календаря Outlook на вкладке Главная отображаются команды для работы с календарем. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image001.jpg width=90%/></p><p>При работе с почтой Outlook вкладка Главная содержит набор быстрых действий - новое средство для выполнения последовательности операций одним щелчком кнопки мыши. Из предопределенных быстрых действий мне больше всех нравится действие Ответить и удалить. Выбрав входящее сообщение, можно воспользоваться действием Ответить и удалить, чтобы подготовить ответ на это сообщение и автоматически переместить полученное сообщение в папку удаленных сообщений. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image002.jpg width=274 height=87/></p><p>Отображаемые на ленте быстрые действия настраиваются с помощью удобного окна. Например, если вы регулярно планируете собрания с одной и той же группой сотрудников после получения электронного сообщения от одного из таких сотрудников, то можете создать собственное быстрое действие, которое позволит планировать собрания, не открывая календаря Outlook. На нижеприведенном рисунке показано диалоговое окно создания быстрого действия под названием Новое собрание с командой проекта Calypso. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image003.jpg width=90%/></p><p>После настройки новое быстрое действие добавляется в область Быстрый запуск вкладки Главная на ленте. Для использования нового быстрого действия мне необходимо просто щелкнуть его, после чего программа Outlook создаст собрание с выбранными мною сотрудниками, а затем переместит прочитанное сообщение электронной почты в папку Проект Calypso. Быстрые действия - это прекрасный способ сэкономить время на повторяющихся операциях.</p><h2>Упрощение планирования собраний</h2><br/><p>Программа Outlook 2010 значительно упрощает планирование собраний с груп&shy;пами сотрудников. В случае работы с коллективным проектом и необходимости проведения собраний я добавляю соответствующую груп&shy;пу в мой календарь Outlook 2010 путем создания новой группы календарей под названием Участники проекта Calypso. Эта группа отобра&shy;жается вместе с моими календарями. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image004.jpg width=207 height=158/></p><p>Наличие группы календарей предоставляет множество преимуществ. В новом представлении расписания я могу просматривать индивидуальные расписания группы, расположенные параллельно или друг над другом (зависит от количества одновременно отображаемых календарей), чтобы выбрать подходящее время для скорейшей встречи. Флажки рядом с име&shy;нем каждого сотрудника позволяют мне добавлять или удалять участников из представления одним щелчком мыши. </p><h2>Сэкономьте время на переписке, связанной с планированием собраний</h2><br/><p>Время, проведенное вами непосредственно на собрании, - это только часть времени, потра&shy;чен&shy;ного в связи с этим собранием. Собрание еще необходимо подго&shy;товить и запланировать. Новые представ&shy;ления календарей в Out&shy;look 2010 позволяют разместить фраг&shy;мент вашего расписания в каж&shy;дом пригла&shy;шении на собрание, поэ&shy;тому вам больше не потребуется закрывать почту Outlook, открывать календарь Outlook, проверять ваше расписание, а затем возвращаться к рассылке приглашений на собра&shy;ние. Как показано на следующем рисунке, теперь можно определить доступ&shy;ность сотрудника непосред&shy;ственно в приглашении на соб&shy;рание. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image005.jpg width=90%/></p><p>Другим способом экономии вре&shy;ме&shy;ни на переписке, связанной с орга&shy;ни&shy;зацией собраний, является ис&shy;поль&shy;зование команды Вставить кален&shy;дарь. Предположим, что в элек&shy;тронном письме вас просят о встре&shy;че в течение определенной недели. Вместо проверки вашего календаря и ввода сведений о вашей доступности, в ответное сообщение можно вставить расписание с указанием свободного времени для определенной даты или диапазона дат. Кроме того, во время подготовки нового электронного письма, содержащего сведения о доступности, в программе Outlook можно использовать команду Отправить календарь. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image006.jpg width=90%/></p><h2>Обмен календарями</h2><br/><p>Некоторым участникам вашей команды может потребоваться просмотреть ваш календарь с помощью собственного календаря Outlook и узнать о вашей доступности. Программа Outlook 2010 упрощает совместное использование календарей. Выберите команду Открыть доступ к календарю, после чего программа Outlook создаст новое сообщение электронной почты для указанных адресатов. Одновременно с этим вы можете запросить разрешение на озна&shy;ком&shy;ление с календарями этих адресатов. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image007.jpg width=90%/></p><p>После обмена календарями другие сотрудники смогут открыть ваш календарь рядом со своими календарями и срав&shy;нить их в программе Outlook 2010. </p><p>Для совместного использования вашего календаря его можно опубликовать с помощью веб-службы, например Office.com. После публикации календаря в сети и предоставления прав доступа к нему, информацию о вашей до&shy;ступ&shy;ности можно будет просматривать с помощью программы электронной почты при условии, что она под&shy;держивает совместное использова&shy;ние календарей через Интернет. Для этого в меню Опубликовать в Ин&shy;тер&shy;нете календаря Outlook выбе&shy;рите Опубликовать на сайте Office.com и задайте предпочтения. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image008.jpg width=90%/></p><p>После предоставления общего дос&shy;тупа к вашему календарю и ознакомления с ним других сотрудников, вы получите сообщения электронной почты, содержащие предложения о времени встречи. </p><h2>Устранение потребности в личных встречах</h2><br/><p>Старая пословица гласит: Никогда не откладывай на завтра то, что можно сделать сегодня. Именно поэтому я часто пытаюсь по мере возможности избежать личных встреч. Я стараюсь обсуждать вопросы по мере их возникновения, а не откладывать их для будущих дискуссий во время собраний. Для этой цели незаменим Microsoft Office Communicator - решение для обмена сообщениями и телефонии, которое можно использовать в любых организациях.</p><p>Например, когда мои коллеги присылают мне приглашение на собрание для обсуждения вопроса, на который я могу быстро ответить, то первым делом я проверяю их доступность в сети. Зеленый значок слева от учетной записи (см. рисунок) подсказывает, что сотрудник доступен.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image009.jpg width=459 height=389/></p><p>Убедившись в доступности коллеги, я использую Communicator для инициирования телефонного звон&shy;ка по сети или сеанса обмена текстовыми сообщениями. Если со&shy;труд&shy;ник доступен для беседы, исчезает необходимость в личной встрече, и мы можем быстрее решать существующие трудности. </p><p><strong><em>Примечание</em></strong><em>. Для использования системы обмена мгновенными сообщениями или функции присутствия требуется Microsoft Office Communications Server 2007 R2 и Microsoft Office. </em></p><h2>Удаленный доступ к собственному расписанию</h2><br/><p>Если в вашей организации используется Microsoft Exchange Server 2010, вы можете воспользоваться новым веб-приложением Outlook Web App (прежнее название Outlook Web Access) для получения доступа к своим сообщениям электронной почты через веб-браузер. Outlook Web App позволяет отправлять и получать сообщения, планировать собрания, искать контакты, проверять доступность и многое другое - и все это с помощью обычного компьютера и веб-браузера. </p><p>При наличии мобильного телефона с установленной операционной системой Windows Mobile или смартфона с про&shy;грам&shy;мой Outlook Mobile, доступ к вашему календарю Outlook можно также получить с помощью мобильного устройства. Я редко разговариваю по мобильному телефону, в основном он используется мною для работы с поч&shy;той и календарем Outlook, где бы я ни находилась. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/32/image010.jpg width=285 height=378/></p><p>С помощью мобильного телефона я могу получать оповещения о собраниях, планировать новые встречи, удалять встречи, принимать приглашения на собрания и многое другое. </p><h2>Управляйте своим временем</h2><br/><p>Благодаря таким новым возможностям, как быстрые действия и представление расписания группы, можно сэкономить время при планировании собраний. Для ускорения переписки, связанной с планированием, можно использовать предварительный просмотр календаря и команду Вставить календарь. С помощью Microsoft Office Communicator можно ускорить решение организационных вопросов и до некоторой степени устранить потребность в личных встречах. Планирование можно продолжать даже за пределами офиса. Совместное использование этих инструментов поможет вам взять под контроль свое деловое расписание и обеспечит ежедневную экономию времени. </p><h2>Об авторе </h2><br/><p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и мар&shy;ке&shy;тингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</em></p> http://www.microsoft.com/rus/business/smb/blog/32/ Microsoft for Business <p>Я помню те времена, когда команда Отменить была новой революционной функцией в офисном программном обеспечении. С тех пор ожидания пользователей значительно возросли. В этой статье рассказывается о новых и улуч&shy;шенных возможностях Microsoft Office 2010, которые помогают обеспечить безопасность работы и доступа к данным.</p><h2>Обеспечение безопасности по умолчанию</h2><br/><p>Если вы получили документ, созданный в одном из приложений Office 2010 (например, в Word и Excel), будет отображено сообщение о невозможности редактирования документа, потому что он открыт в режиме защищенного просмотра. Например, если вы получили электронное письмо с прикрепленным документом Word или таблицей Excel, отобразится диалоговое окно, в котором вам будет предложено подтвердить необ&shy;ходимость редактирования доку&shy;мента, как показано слева в Excel 2010. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image001.jpg width=90%/></p><p>Чтобы защитить компьютер от вредоносных макросов, вирусов или другого нежелательного кон&shy;тен&shy;та, в программах Office 2010 режим защищенного просмотра включен по умолчанию. Открытие документа и выполнение макросов происходят только после нажатия кнопки Разрешить редактиро&shy;ва&shy;ние. Например, если вы открывае&shy;те электронное письмо с вложе&shy;нием, режим защищенного просмотра предоставляет возможность предотвратить потенциально опасные си&shy;туа&shy;ции, если отправитель вложения неиз&shy;вес&shy;тен или оно получено из непро&shy;веренного источника.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image002.jpg width=90%/></p><p>Поскольку существуют ситуации, когда необходимо повторно открывать доку&shy;мен&shy;ты, полученные из надежных источников, Центр управления безопасностью про&shy;грамм Office 2010 позволяет выбрать издателей, места и документы, для которых режим защищенного просмотра будет отключен. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image003.jpg width=90%/></p><p>В программах Office 2010 доступ к центру управления безопасностью можно получить на вкладке Сведения нового представления Microsoft Office Backstage ;. Представление Backstage объединяет в одном удобном месте все инструменты и функции, необходимые для подготовки, совместного использования и печати ваших документов. </p><h2>Совместная работа с большей безопасностью</h2><br/><p>Программы Office 2010 упрощают совместную работу благодаря возможности сохранения и использования документов в рамках бесплатного веб-сервиса под названием <a href=http://skydrive.live.com/ target=_blank>Windows Live SkyDrive</a>. Например, во время совместной работы над таблицей с группой сотрудников или при необходимости передать таблицу кому-либо за пределами вашей компании, можно зарегистрировать учетную запись Windows Live SkyDrive, после чего создать папку для вашего проекта. Затем можно предоставить соответствующие права и пригласить определенных пользователей Windows Live просматривать и/или редактировать документы, содержащиеся в этой папке. Когда потребуется сохранить документы в вашу сетевую папку, это можно сделать непосредственно из программы Word 2010, Excel 2010, PowerPoint 2010 или OneNote 2010. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image004.jpg width=90%/></p><p>Наиболее важным преимуществом сохранения файлов в Windows Live SkyDrive является то, что посе&shy;тители вашей сетевой папки могут просматривать документы с помо&shy;щью веб-аналогов Word 2010 (Microsoft Word Web App), Excel 2010 (Microsoft Excel Web App), PowerPoint 2010 (Microsoft Power Point Web App) и OneNote 2010 (Microsoft OneNote Web App). Посетители сетевой папки могут даже вносить простейшие изме&shy;нения в эти документы, если вы предоставили им соответствующие права. Как показано на рисунке справа, вид таблицы в Excel 2010 ничем не отличается от ее представления в веб-приложении Excel Web App. </p><p>Файлы, созданные в программах Office 2010, можно сохранять напрямую на сайтах SharePoint 2007 или SharePoint 2010 в интра&shy;сети для корпоративных пользо&shy;ва&shy;телей. Я часто использую эту воз&shy;можность в тех случаях, когда я завершила работу над документом и готова предоставить к нему доступ другим сотрудникам. </p><p>После сохранения мною таблиц Excel 2010 на сайте SharePoint 2010, его посетители смогут просматривать их в веб-приложении Excel Web App. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image005.jpg width=451 height=307/></p><p>Доступ к веб-приложениям Excel Web App и OneNote Web App можно получить на сайте Windows Live SkyDrive или SharePoint 2010, что также позволяет редактировать доку&shy;мен&shy;ты одновременно нескольким со&shy;труд&shy;никам. При этом можно будет видеть, кто еще редактирует данный файл одновременно с вами, и какие изменения внесли другие авторы. </p><p>Корпоративные пользователи, имею&shy;щие доступ к документам на сервере SharePoint 2010, могут одновременно редактировать документы Word 2010, PowerPoint 2010 и OneNote 2010. Изменения, внесенные пользователем в файл, отображаются после его сохранения. </p><p>Другим вариантом совместной работы с высокой безопасностью является использование Microsoft Office SharePoint Workspace 2010 (прежнее название Groove). Можно создать рабочую область SharePoint (см. рисунок справа), чтобы предо&shy;ставить определенным пользо&shy;вате&shy;лям доступ к локальным или загру&shy;жен&shy;ным версиям документов на сайте SharePoint. SharePoint Work&shy;space 2010 позаботится о синхро&shy;низации всех изменений локальных и серверных версий файлов. Рабо&shy;чие области SharePoint идеально под&shy;ходят для случаев, когда необ&shy;ходимо не только безопасно хра&shy;нить документы на сайте SharePoint 2010, но и работать с ними автономно. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image006.jpg width=90%/></p><p>SharePoint Workspace 2010 можно также использовать для создания рабочих областей Groove. Они позволяют совместно использовать и синхронизировать документы в рамках определенной группы сотрудников без син&shy;хро&shy;низации этих документов с сайтом SharePoint. </p><p>Например, если вы разрабатываете маркетинговый план совместно с каким-либо агентством, можно создать рабочую область Groove, чтобы обмениваться документами между всеми участниками виртуальной группы, даже если у них нет доступа к вашим корпоративным сайтам SharePoint. Рабочие области Groove являются также прекрасным способом совместного использования документов, размер которых слишком велик, чтобы загружать их на сайты SharePoint, например видео или готовые к печати файлы графики. </p><h2>Выберите уровень разрешений</h2><br/><p>Как показано на рисунке ниже, доступ к документам, созданным в программах Office 2010, может быть ограничен на уровне документа на вкладке Сведения представления Backstage. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image007.jpg width=442 height=373/></p><p>Если указать, что версия документа является окончательной, то в него больше невозможно будет внести изменения. Кроме того, можно установить пароль на открытие документа. Или можно ограничить редактирование (см. рисунок справа). </p><p>Например, если вы отправляете тщательно отформатированный документ группе сотрудников, которые знают о стилях и форма&shy;ти&shy;ровании достаточно много, чтобы испортить весь документ, вы можете ограничить возможность изменения рецензентами отдельных или всех стилей в документе. Можно позволить рецензентам вносить изменения в документы только в режиме исправлений, чтобы вы могли легко отсле&shy;живать сделанные ими изменения. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image009.jpg width=197 height=493/></p><p>Доступ к документам, сохраняемым на сайтах SharePoint 2010 в интра&shy;сети, также может быть ограничен. В случае сохранения документа в биб&shy;лиотеке документов на сайте SharePoint по умолчанию доступ к ва&shy;шему документу контролируется разрешениями сайта SharePoint. Другими словами, права на доступ пользователя к вашему документу будут совпадать с его правами на доступ к сайту SharePoint, на котором размещена библиотека документов.</p><p>Права на доступ к отдельным библиотекам документов на сайтах SharePoint 2010 могут отличаться от прав на доступ ко всем остальным библиотекам сайта. Например, если вам необходимо предоставить доступ к вашим документам небольшой группе сотрудников, можно задать уникальные права доступа для вашей библиотеки документов, а затем предоставить их необходимым пользователям. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image008.jpg width=460 height=335/></p><p>Изменение разрешений для библиотек документов на сайтах SharePoint 2010 является прекрасным способом огра&shy;ничить доступ к важным документам. </p><h2>Восстановление документов</h2><br/><p>Если вы когда-либо испытывали шок от осознания того, что батарея вашего ноутбука разрядилась раньше, чем вы успели сохранить документ, то функция восстановления черновых версий придется вам по душе. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/31/image010.jpg width=90%/></p><p>Восстановление черновых версий в Excel 2010, Word 2010 и PowerPoint 2010 позволяет в случае возникновения проблем выбрать для восстановления сохраненную черновую версию документа. Например, если во время просмотра документа кто-то случайно удаляет часть его содержимого, можно легко восстановить предыдущую версию такого документа, которая была сохранена до удаления. </p><h2>Защита при доступе к файлам</h2><br/><p>Программы Office 2010 позволяют обеспечить надежную защиту важных файлов, в том числе с помощью пароля. Используйте центр управления безопасностью, чтобы:</p><ul><li>задать правила для режима защищенного просмотра;</li><li>обеспечить безопасную совместную работу с помощью веб-приложений Office Web Apps;</li><li>использовать улучшения безопасности на уровне файлов или библиотек документов; </li><li>работать совместно с помощью рабочих пространств SharePoint Workspace 2010;</li><li>восстанавливать нужные черновые версии документов. </li></ul><h2>Об авторе</h2><em><br/></em> <p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</em></p> http://www.microsoft.com/rus/business/smb/blog/31/ Microsoft for Business <p>Когда много лет назад я стала частью корпоративного мира, коллективная работа означала работу в группе с другими сотрудниками в одном офисном помещении. В настоящее время границы между участниками группы стали более размытыми, поскольку сотрудники компании, заказчики и поставщики часто находятся в разных точках планеты. В этой статье вы узнаете о том, как новые средства Microsoft Office 2010 делают совместную работу сотрудников, находящихся в одном офисе или в разных местах, более эффективной.</p><h2>Улучшенная коммуникация по электронной почте</h2><br/><p>Социальные сети приобрели огромную популярность и стали частью нашей культуры, потому что они объединяют людей. На веб-сайтах социальных сетей мы публикуем новости о нашей личной или деловой жизни, отслеживаем действия наших друзей и отправляем мгновенные сообщения, чтобы оставаться на связи. Благодаря Microsoft Outlook 2010 социальные сети приобрели новые возможности.</p><p>Когда вы впервые получаете электронное письмо от какого-либо сотрудника вашей компании с помощью программы Outlook 2010, вас может приятно удивить наличие фотографии в сообщении, а также область в нижней части окна сообщения под названием Outlook Social Connector, показанная на рисунке справа. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image001.jpg width=90%/></p><p>Область Outlook Social Connector содержит фотографию отправителя, сообщения, ка&shy;лен&shy;дарь, вложения действия в SharePoint. В будущем можно будет загружать Social Connectors с ваших любимых веб-сайтов социальных сетей, чтобы контент из сети ото&shy;бражался непосредственно в области Outlook Social Connector. Для проверки наличия обновлений действий отправителя можно будет использовать не веб-браузер, а удобный интерфейс Outlook 2010. </p><p>Другой важной особенностью программы Outlook 2010 является наличие индикаторов, которые указывают, что контакт доступен для общения, находится на совещании, отсутствует в офисе или очень занят. Если вы собираетесь отправить электронное письмо, значок в виде драже подскажет, что с этим контактом можно связаться быстрее, отправив мгновенное сообщение, если в настоящее время он находится за компьютером, или позвонив ему, если контакт отсутствует в офисе. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image002.jpg width=90%/></p><p>Если в программе Outlook 2010 навести курсор мыши на индикатор присутствия ря&shy;дом с именем контакта (см. рисунок ниже), от&shy;кроется карточка контакта, содержащая информацию о пользователе и возможных способах связи с ним.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image003.jpg width=90%/></p><p>Например, поскольку корпорация Майкро&shy;софт использует Microsoft Office Commu&shy;nicator в качестве своего корпоративного инстру&shy;мента для обмена мгновенными сооб&shy;щениями и организации коллективной рабо&shy;ты, я могу передавать текстовые сообщения или инициировать видео и голосовые вызовы без использования телефона (достаточно не&shy;до&shy;рогого микрофона и веб-камеры, прикреп&shy;ленных к моему компьютеру). Я могу создать сообщение электронной почты или отправить запрос о возможности встречи, а также добавить этого пользователя в мои контакты Outlook - и все это с помощью удобной карточки контакта. Я быстрее отвечаю на вопросы, потому что могу быстро отправлять мгновенные сообщения доступным пользо&shy;вателям, которые ценят возможность неза&shy;медли&shy;тельно получать ответы на свои вопросы без необходимости создавать очередное сообщение электронной почты. </p><p><strong>Примечание</strong>. <em>Для использования функции обмена мгновенными сообщениями и статусов присутствия необходимы следующие компоненты: Microsoft Office Communications Server 2007 R2 с Microsoft Office Communicator 2007 R2, а также Windows Live Messenger или другое приложение для обмена мгновенными сообщениями, которое поддерживает IMessenger. Для голосовых вызовов требуется Office Communications Server2007 R2 с Office Communicator 2007 R2 или любым другим приложением с поддержкой IMessengerAdvanced.</em></p><p>В программе Outlook 2010 появился еще один инструмент (см. рисунок слева) под названием Пред&shy;став&shy;ление расписания группы, который экономит ваше время и позволяет избежать разочаро&shy;ваний при работе с группами со&shy;труд&shy;ников.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image005.jpg width=90%/></p><p>Просто присвойте имя новой группе кален&shy;дарей, а затем добавьте в нее участников из вашей адресной книги, из списка опубли&shy;кованных комнат, из веб-службы, которая публикует интерактивные календари, или из совместно используемого календаря в преде&shy;лах вашей организации. После форми&shy;рования группы можно отследить доступ&shy;ность каждого ее участника в одном удобном представлении, что ускоряет поиск возмож&shy;ных дат и времени для собрания. </p><p><strong>Примечание</strong>. <em>Чтобы другие пользователи могли получить доступ к вашему календарю в</em> <em>сети, опубликуйте его нажатием кнопки Публиковать на вкладке Outlook Calendar Home, а затем выберите команду Опубликовать на сайте Office.com. Аналогичным образом, если заказчики, поставщики или деловые партнеры опубликуют свои календари, вы сможете просматривать их в представлении календарей групп, несмотря на том, что их системы находятся за пределами вашей корпоративной сети.</em></p><h2>Мостик между корпоративными островками</h2><br/><p>Приложения Office 2010 создавались с пони&shy;ма&shy;нием того, что пользователям нужно больше гибкости в отношении выбора мест для хра&shy;не&shy;ния документов и контроля доступа к ним. Именно поэтому область меню Файл была полностью преобразована и теперь называется представлением Microsoft Office Backstage. Пред&shy;ставление Backstage содержит все коман&shy;ды, необходимые для подготовки, сохра&shy;не&shy;ния, печати и совместного использования доку&shy;мен&shy;тов, и реализовано в большинстве программ Office 2010. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image004.jpg width=90%/></p><p>На вкладке Сохранить и отправить представления Backstage появились две новые команды - Сохранить в SkyDrive и Сохранить в SharePoint. <a href=http://live.skydrive.com/ target=_blank>Windows Live SkyDrive</a>- это бесплатная веб-служба для хранения файлов, к которым можно предо&shy;ставить доступ избранным пользо&shy;ва&shy;телям Windows Live. Я как обычно создаю папки для конкретных проектов, после чего назначаю права доступа к этим папкам. Для доступа к пап&shy;кам необходим идентификатор Windows Live ID, при этом для сохранения файлов в таких папках нет необходимости покидать программу Office 2010, в которой я работаю.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image006.jpg width=90%/></p><p>Когда участники нашей виртуальной группы щелкают значок документа, например, презентации, созданной с помощью PowerPoint 2010, им становятся доступны следую&shy;щие команды: Просмотреть, Редакти&shy;ровать, Загрузить, Удалить и Перемес&shy;тить. Они также могут добавлять в документ комментарии, которые затем становятся доступны всем участникам группы.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image007.jpg width=475 height=660/></p><p>Если пользователь выбирает команду Просмотреть, презентация отображается в веб-браузере с помощью нового веб-приложения Microsoft PowerPoint Web App. Вы не ослышались, для просмотра презентаций пользователям вовсе не обязательно устанавливать на своих компьютерах программу PowerPoint. </p><p>Примечательно также то, что после выбора команды Редактировать они могут не толь&shy;ко просмотреть презентацию, но и внести в нее простейшие изменения прямо в браузере (см. рисунок справа).</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image008.jpg width=90%/></p><p>Веб-версии программ Word 2010, Excel 2010, PowerPoint 2010 и OneNote 2010 доступны на сайтах Windows Live SkyDrive и SharePoint и называются Office Web Apps. Возможность просмотра или простейшего редактирования файлов с помощью одного лишь веб-брау&shy;зера означает, что реализация проектов будет продолжаться независимо от местона&shy;хож&shy;дения участников группы. </p><h2>Обменивайтесь идеями, замечаниями, находками... </h2><br/><p>Разработанная корпорацией Майкрософт программа OneNote для создания заметок в электронной форме существенно преоб&shy;разила способ работы многих из нас. Вместо того, чтобы делать рукописные заметки на листе бумаги, а затем перепечатывать их в электронные документы, теперь заметки мож&shy;но сразу создавать в электронном виде, используя средства рисования, создания эс&shy;ки&shy;зов, вырезания и вставки. Таким образом, по завершении собрания у нас уже есть пол&shy;ностью готовые к использованию заметки. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image009.jpg width=90%/></p><p>В OneNote 2010 сделан большой шаг в направлении совместного использования цифровых заметок. Записные книжки OneNote 2010 теперь можно публиковать напрямую на сайтах SharePoint 2010 или в службе <a href=http://live.skydrive.com/ target=_blank>Windows Live SkyDrive</a>. Уполномоченные участники группы могут открыть записную книжку и сделать свои заметки, а программа OneNote 2010 особым образом отметит комментарии и изменения, чтобы можно было установить их авторство.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image010.jpg width=90%/></p><p>С помощью SharePoint 2010 или Windows Live SkyDrive участники группы, обладающие соответствующими правами, могут открывать совместно используемые записные книжки OneNote 2010 в веб-версии программы OneNote 2010 под названием OneNote Web App. OneNote Web App - это прекрасный способ распространения заметок среди участников группы, позволяющий участникам получать доступ к заметкам, даже если у них не установлена программа OneNote или установлена ее более ранняя версия. </p><h2>Больше никаких очередей </h2><br/><p>Если вам, как и мне, надоело открывать документ с сервера и получать сообщение о том, что этот документ недоступен для редактирования, поскольку его уже открыл другой пользователь, вам понравятся программы Word 2010 и PowerPoint 2010, позволяющие одновременно редактировать документы нескольким пользователям. Вы можете совместно с коллегой работать над отчетом через конференц-связь, при этом вы оба сможете сохранять изменения в документах, а программа Word 2010 сделает пометки об авторстве изменений. Новая панель навигации позволяет видеть, кто в настоящий момент редактирует тот или иной раздел документа Word 2010, содержит список всех заголовков разделов в документе и упрощает поиск по ключевым словам в каждом разделе. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image011.jpg width=90%/></p><p>Можно также создавать или одновременно редактировать файлы Word 2010, PowerPoint 2010, Excel 2010 или OneNote 2010 с по&shy;мощью соответствующих веб-приложений Word Web App, PowerPoint Web App, Excel Web App или OneNote Web App. </p><p><strong>Примечание</strong>. <em>Для использования возможностей совместного редактирования необходим Microsoft SharePoint Foundation 2010 или бесплатная</em></p><h2>Просмотр контента SharePoint в автономном режиме</h2><p><em> учетная запись Windows Live.</em></p><br/><p>Мне впервые пришлось использовать Groove несколько лет назад, когда нужно было совместно с коллегами работать с файлами рисунков, размер которых был слишком велик, чтобы загружать их на сайт SharePoint (каждая организация устанавливает максимальный размер файлов, загружаемых на сайты SharePoint; сведения об ограничениях размеров файлов в вашей организации можно узнать у вашего администратора сети). Одноранговая сеть, которую мы создали с помощью нашей рабочей области Groove, позволила нам не только обеспечить общий доступ к файлам, но и работать с ними автономно с последующей синхронизацией после повторного подключения к сети. Решение Groove идеально подходило для этого проекта, поскольку позволяло работать с большими файлами, благодаря чему мы смогли привлечь к проекту штатных и внештатных сотрудников вне зависимости от того, была ли у них возможность подключиться к корпоративной сети, хотя у некоторых участников нашей виртуальной команды отсутствовало постоянное подключение.</p><p>С выходом Office 2010 решение Groove эволюционировало в продукт Microsoft SharePoint Workspace 2010, который предлагает нам преимущества работы в одноранговой сети, использованные мною в проекте с файлами рисунков и не только. Теперь SharePoint Workspace 2010 позволяет нам получать доступ к своим файлам и данным, содержащимся в библиотеках и списках SharePoint, даже когда мы находимся в пути или работаем из дома. </p><p>Например, из офиса я могу опубликовать на сайте SharePoint план рекламной кампании, таблицу и презентацию PowerPoint, которые станут доступны всем участникам нашей виртуальной команды. Сайт SharePoint может быть размещен на корпоративном сервере и, следовательно, будет доступен только участникам группы внутри компании, а может быть размещен на сервере стороннего поставщика, который предо&shy;ста&shy;вит доступ к сайту участникам группы как внутри, так и за пределами компании. В прошлом для того, чтобы продолжить ра&shy;боту с документами, мне было необходимо подключиться к сайту SharePoint, а благо&shy;даря SharePoint Workspace 2010 я могу просматривать и редактировать выбранные мною файлы автономно, находясь в само&shy;ле&shy;те или дома, а затем синхронизировать изменения с документами на сервере после повторного подключения к корпоративной сети. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image012.jpg width=90%/></p><p>Поскольку на сервер загружаются только внесенные изменения, мне не нужно беспокоиться о повторной загрузке целых документов дистанционно по низкоскоростным каналам связи.</p><p>Рабочие пространства SharePoint Workspace 2010 защищены паролем, и я сама могу выбирать, кого пригласить для участия в них. Я также могу задать параметры, запрещающие редактирование документов во время моего отсутствия. Поскольку SharePoint Workspace 2010 входит в семейство продуктов Office 2010, встроенные возможности определения присутствия позволяют мне отслеживать доступность каждого участника и выбрать подходящий вид связи с ним - мгновенное сообщение, телефонный звонок или электронное письмо.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image013.jpg width=243 height=478/></p><p>Панель запуска SharePoint Workspace 2010 ускоряет открытие любых доступных мне рабочих пространств, а также позволяет добавлять или удалять контакты. Панель запуска может быть открыта из панели задач Windows, что упрощает доступ к моим документам или контактам, в какой бы программе я ни работала.</p><p><strong>Примечание</strong><em>. Рабочие области SharePoint могут синхронизироваться с сайтами, размещенными на серверах Microsoft SharePoint 2010, Windows Foundation Services или SharePoint Online.</em></p><h2>Эффект присутствия во время дистанционных презентаций</h2><br/><p>Типичная проблема при проведении дистанционной презентации - сделать так, чтобы все пользователи, которые получили файл презентации по электронной почте в виде вложения, одновременно открывали один и тот же слайд. У некоторых участников может быть установлена старая версия PowerPoint, поэтому они могут испытывать трудности с открытием презентации. Другие могут запутаться в последовательности слайдов или поспешно перейти к слайдам, которые докладчик еще не готов прокомментировать. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image014.jpg width=452 height=430/></p><p>Новая функция Широковещательный показ слайдов в PowerPoint обеспечивает удобную демонстрацию презен&shy;таций пользователям внутри или за пределами вашей компании, поскольку в этом случае участникам необходимо всего лишь подключение к Интернету и веб-браузер. Слайды необходимо опубликовать в сети вашей компании на сайте SharePoint 2010 или с помощью бесплатной веб-службы под названием PowerPoint Broadcast Service. После этого вам будет предоставлена гиперссылка, которую можно скопировать и отправить участникам с помощью мгновенных сообщений или по электронной почте непо&shy;средственно из программы PowerPoint 2010. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/30/image015.jpg width=90%/></p><p>Подготовив все необходимое, щелкните кнопку Начать показ слайдов, чтобы начать демонстрацию слайдов в веб-браузерах участников. Переход к следующему слайду будет происходить синхронно во всех браузерах с открытой презентацией, поэтому вам не придется беспокоиться о том, соответствует ли изображение на вашем мониторе изображению на мониторах участников презентации.</p><h2>Более эффективная совместная работа </h2><p>Если вы сможете быстрее связываться с участниками группы, более эффективно использовать информацию при совместной работе и легко взаимодействовать с различными подразделениями компании, то сможете сократить сроки реализации проекта. Надеюсь, вы сможете извлечь преимущества из этих новых возможностей Office 2010, ускорив коллективную работу над проектами.</p><h2><em>Об авторе </em></h2><em><br/></em> <p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</em></p> http://www.microsoft.com/rus/business/smb/blog/30/ Microsoft for Business <p>Наше рабочее время - это вереница из множества отдельных задач. Ускорение работы может дать нам больше свободного времени. </p><p>Много лет назад я посетила семинар, посвященный управлению временем, который произвел на меня неизгладимое впечатление. Запомнилась идея то том, что ежедневно нужно стремиться к реализации ваших наиболее важных проектов. С тех пор я поняла, что отличный способ содействовать реализации проектов - использовать технологии, сберегающие время. </p><p>В этой статье обсуждаются способы экономии времени в течение вашего рабочего дня с помощью новых и улуч&shy;шен&shy;ных инструментов в Microsoft Office 2010.</p><h2>Ускорение рутинных операций </h2><br/><p>Программы Office 2010 предназначены для упрощения вашей повседневной работы. Если вы открывали программы Office 2010, то заметили сходство их панелей инструментов (лента Office), на которых размещены наиболее востребованные команды.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image002.jpg width=90%/></p><p>Поскольку все программы Office 2010 используют похожую ленту, вы заметите повышение эффективности своей работы с при&shy;ложениями Office 2010. Ленту каждой программы можно настроить отдельно. Она также позволяет скрыть команды, которые вы не предполагаете использовать, или создать пользовательские вкладки, содержащие наиболее часто используемые команды. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image001.jpg width=90%/></p><p>На рисунке показан пример создания новой вкладки в программе Outlook 2010. Эта вкладка, названная мною Nancy's, содержит наиболее часто используемые мною эле&shy;мен&shy;ты: Сохранить вложения, Мой компьютер, Заметки и Входящие. </p><p>После выбора необходимых мне команд новая вкладка активна, готова к использованию и экономит драгоценные секунды.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image003.jpg width=467 height=134/></p><p>В программах Office 2010 также приме&shy;чательно меню Файл (называемое теперь представлением Microsoft Office Backstage ;), которое объединяет в одном месте многие команды управления файлами. Например, вкладка Печать позволяет выбирать принтер, ориентацию страницы и исполь&shy;зовать предварительный просмотр в одном удобном представлении, что сводит к минимуму время на под&shy;го&shy;товку вашего документа к печати.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image004.jpg width=90%/></p><p>Я также использую вкладку Доступ представления Backstage, чтобы быстро отправлять мои рабочие документы по элек&shy;тронной почте. Я использую Backstage для публикации документов в блогах, в службе <a href=http://skydrive.live.com/ target=_blank>Windows Live SkyDrive</a> или на сайтах SharePoint в интрасети.</p><h2>Набор быстрых действий</h2><br/><p>Все мои коллеги знают, что по любому вопросу им легче всего связаться со мной по электронной почте. Способы ускорения работы с входящей электронной почтой дают мне весомые преимущества. Быстрые действия в программе Outlook 2010 являются новым прекрасным способом экономии времени. Быстрые действия - это составные команды, которые запускаются путем нажатия кнопки Быстрое действие на ленте Outlook 2010 или с помощью сочетания клавиш. </p><p>Программа Outlook 2010 содержит набор готовых быстрых действий, которые я часто использую. Мне нравится команда Ответить и удалить, которая позволяет мне открыть сообщение, подготовить ответ на него, а после нажатия кнопки Отправить программа Outlook автоматически переместит входящее письмо в папку удаленных сообщений. Можно также создавать собственные быстрые действия для объединения и пакетного выполнения нескольких команд.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image007.jpg width=90%/></p><p>Например, иногда друзья или родственники отправляют сообщения на мой рабочий адрес электронной почты, несмотря на то, что я просила их этого не делать. Поэтому я создала быстрое действие, которое перенаправляет сообщения на мой личный адрес электронной почты и без&shy;воз&shy;вратно удаляет их из рабочего почтового ящика.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image005.jpg width=272 height=90/></p><p>Теперь после получения личного сообщения я просто щелкаю быстрое действие Личная электронная почта на ленте Office и электронное письмо перенаправляется в мой личный почтовый ящик, а затем удаляется. Это так просто!</p><h2>Улучшенная функция вставки</h2><br/><p>Если вам приходилось повторно вводить один и тот же текст только потому, что вы боялись нарушить форматирование в документе, то новая функция вставки с динамическим просмотром предназ&shy;на&shy;чена специально для вас. Если вставка выполняется в Word 2010 или в других программах Office 2010, можно навести курсор мыши на каждый параметр вставки (Сохранить исходное форма&shy;тиро&shy;вание, Объединить форматирование, Использовать конечную тему, Рисунок, Сохранить только текст) и просмотреть результат вставки до ее применения. Вставка выполняется только после щелчка параметра или нажатия сочетания клавиш, что делает вставку удобной. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image006.jpg width=414 height=223/></p><br/><h2>Ускорение поиска</h2><br/><p>Поиск информации в документах Word 2010 был упрощен благодаря новой области навигации (см. рисунок справа).</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image008.jpg width=331 height=564/></p><p>Область навигации разбивает ваш документ на секции в соответствии с заголовками разделов (например, заголовок 1, заголовок 2 и заго&shy;ло&shy;вок 3). Когда мне необходимо найти какое-либо слово в документе, например Образовательный, панель навигации выделяет разделы, в которых содержится это слово. После щелчка на выделенном раз&shy;деле, этот раздел отображается в основной области просмотра доку&shy;мента. Область навигации также упрощает изменение расположения разделов благодаря перетаскиванию областей в области навигации в требуемом порядке. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image009.jpg width=471 height=564/></p><p>С помощью области навигации я могу получить доступ к параметрам расширенного поиска и найти разделы в документе с графикой, таблицами, уравнениями, нижними колонтитулами/концевыми снос&shy;ками или комментариями (см. на рисунке ниже).</p><h2>Упрощение сложных задач</h2><br/><p>Графики сводной таблицы Excel являются мощными инструментами, помогающими превратить строки и столбцы данных в сгруппированные списки, которые можно использовать для анализа и интерпретации данных. Например, у туристического агент&shy;ства есть простая сводная таблица с данными о средних температурах, которая позволяет облегчить поиск средних температур в последовательности регион-страна-город. Поэтому если турист направляется в Гонолулу в феврале, можно легко начать с Северной Америки, затем детализировать данные до Соединенных Штатов и найти среднюю тем&shy;пературу в феврале на Гавайях (приятные 73 градуса по Фаренгейту). </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image010.jpg width=90%/></p><p>Эта впечатляющая функциональность улуч&shy;шена в Excel 2010 с помощью двух ключевых инструментов - срезов и спарклайнов.</p><p>Срезы позволяют добавлять в сводную таблицу область выбора с параметрами, при выборе которых происходит фильтрация данных в сводной таблице. Например, добавление мною среза Город в нашу сводную таблицу средних температур позволяет пользователю выбрать город, после чего Excel отображает данные только для этого города.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image012.jpg width=90%/></p><p>Срезы предоставляют данные, для получения которых ранее потребовалось бы щелкнуть кнопкой мыши еще пару раз. В этом примере, если у представителя туристич&shy;еского агентства спросят по телефону о климате в Денвере в январе, он мог бы просто щелкнуть название Денвер в срезе Город и все остальные нереле&shy;вантные данные были бы отфиль&shy;трованы, что позволило бы быстро ответить на вопрос клиента. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image011.jpg width=397 height=156/></p><p>Спарклайны являются очень интересным нововведением в Excel, поскольку помогают быстро выявлять тенденции. Эти миниатюрные графики и диаграммы размещаются в одной ячейке таблицы и позволяют анализировать определенный диапазон данных. В нашей таблице средних температур в столбец Тренд я добавила спарклайны, которые демонстрируют средние температуры по месяцам в формате гистограммы. Поэтому для каждого города я могу быстро узнать, какое время года теплее по сравнению с другими. Спарклайны могут иметь различный формат (см. рисунок), а Excel позволяет вам задать различные цвета для верхней, нижней, начальной или конечной точек.</p><p>Спарклайны облегчают поиск средних температур в странах и городах для времени года, которое выбрано клиентом для предполагаемого путешествия. Благодаря отличной интеграции программ Office 2010 между собой вы можете легко копировать и вставлять эти данные из Excel 2010 в Outlook 2010 для отправки по электронной почте клиентам или добавлять их в презентации PowerPoint 2010.</p><p>В предыдущих версиях Excel графики сводной диаграммы необходимо было создавать после формирования сводной таблицы. В Excel 2010 графики сводной диаграммы могут создаваться для визуального анализа и подго&shy;товки отчетов без необходимости пред&shy;варительного создания сводной таблицы. Кроме того, во время создания сводной таблицы параметры фильтрации уже добав&shy;лены с помощью интерактивных кнопок, поэтому вы можете ограничить представ&shy;ление диаграммы только выбранными значениями. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/29/image013.jpg width=90%/></p><p>Сводные таблицы, спарклайны, срезы и свод&shy;ные диаграммы делают анализ и интерпре&shy;тацию данных гораздо более понятными, наг&shy;лядными и гибкими. </p><h2>Экономьте время уже сегодня</h2><br/><p>Советы, содержащиеся в данной статье, должны вдохновить вас на использование преимуществ новых и улучшенных инстру&shy;мен&shy;тов Office 2010, которые позволяют эко&shy;но&shy;мить время. Вначале можно познакомиться с новой настраиваемой лентой во всех программах Office 2010, а затем ускорить выполнение некоторых из ваших повседневных процедур и даже попробовать новые возможности работы с данными в Excel 2010. </p><h2><em>Об авторе </em></h2><em><br/></em> <p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</em></p> http://www.microsoft.com/rus/business/smb/blog/29/ Microsoft for Business <p>Папка Входящие в программе Microsoft Outlook является для меня отправной точкой.</p><p>С ее помощью я отправляю клиентам предложения. Отвечаю на вопросы клиентов. Направляю им результаты работы. Происходит постоянная отправка и получение сообщений. Пока выполняется один проект, для запуска другого необходимо получить подтверждение клиента или ответ на возникший вопрос.</p><p>Я постоянно ищу способы содействовать реализации проектов, что в моем случае означает улучшенный контроль над папкой входящей почты. Хорошо, что в этом мне помогают некоторые новые возможности программы Outlook 2010. Я убеждена, что они будут полезны и вам.</p><h2>Управление беседами</h2><br/><p>В течение обычного рабочего дня вы получаете огромное количество электронных писем, поэтому более простой способ их просмотра может значительно ускорить работу с электронной почтой. Например, на рисунке справа показано, что моя папка Входящие в программе Outlook 2010 содержит семь сообщений.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image001.jpg width=370 height=137/></p><p>Если я группирую сообщения по беседе, программа Outlook 2010 автоматически разбивает сообщения на груп&shy;пы, что сокращает количество отображаемых писем с семи до трех. Интересно отметить, что эта новая функция груп&shy;пи&shy;ро&shy;вания фактически отображает восемь электронных писем, так как включает в группу одно старое сообщение, отно&shy;сящееся к этой беседе.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image002.jpg width=357 height=279/></p><p>Мне нравится, что Outlook 2010 группирует все сообщения, благодаря чему я могу обращаться с ними как с группой, например, удаление беседы приведет к удалению всех сообщений, связанных с этой беседой.</p><p>В длинных беседах программа Outlook 2010 также способна распознавать в теле некоторых сообщений предыдущие сообщения. В таких беседах программа Outlook автоматически помечает первое сообщение как прочитанное, поскольку оно повторяется во втором сообщении.</p><p>При использовании новой команды Очистка проис&shy;ходит удаление всех дублирующихся сооб&shy;щений из данной беседы, папки или папки и всех вложенных в нее папок. Это не только сокращает количество электронных писем в моей папке Входящие, но и позволяет освободить дисковое пространство, занимаемое лишними сообщениями.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image003.jpg width=356 height=151/></p><p>Моя любимая новая функция в программе Outlook 2010 - команда Пропустить. Вам понравится эта команда, если вам надоели бесконечные беседы с классическими сообщениями типа удалите меня из этого списка рассылки и прекратите направлять запросы об исключении из этого списка рассылки или вы идиот, вы сделали только хуже. Просто щелкните правой кнопкой мыши на переписке и выберите Пропустить, после чего программа Outlook 2010 не только переместит всю беседу в папку удаленных сообщений, но и будет делать это для всех последующих сообщений подобного рода. Обсудите эффективный способ уменьшить количество входящих электронных писем!</p><h2>Используйте преимущества быстрых действий</h2><br/><p>Когда много лет назад я училась работать с ком&shy;пьютером, для часто используемых функций программы было принято создавать макросы, а для их применения требовалось нажать несколько клавиш на клавиатуре. Быстрые действия в программе Outlook 2010 подобно макросам невероятно упрощают работу - просто укажите Outlook 2010, что должно произойти после нажатия опре&shy;де&shy;лен&shy;ного сочетания клавиш и программа позабо&shy;тится об остальном. </p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image004.jpg width=509 height=569/></p><p>Например, если я получаю электронное письмо, требующее действий с моей стороны, я присваиваю ему высокую важность, добав&shy;ляю задачу в задачи Outlook и планирую встре&shy;чу в календаре Outlook, чтобы заре&shy;зер&shy;вировать время для выполнения этой задачи. Для автоматизации этих трех действий я создала в программе Outlook 2010 в тече&shy;ние всего нескольких секунд быстрое дей&shy;ствие под названием Очень важно!.</p><p>Теперь после получения важного электронного письма я щелкаю быстрое действие Очень важно! в области Быстрые действия на ленте. Outlook 2010 помечает сообщение, как очень важное, создает новую задачу Outlook и приглашение на собрание с цитированием полученного письма.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image006.jpg width=392 height=87/></p><p>Созданное мною быстрое действие экономит мое время и дает уверенность, что для важных сообщений я не пропущу ни один из трех необходимых шагов.</p><p>Outlook 2010 также содержит три готовых быстрых действия, которые при необ&shy;хо&shy;ди&shy;мости можно изменить. Например, вы можете настроить быстрое действие Переместить в на перемещение сообщений в определенную папку или использовать быстрое действие Руководителю, чтобы перенаправить сообщение вашему руководителю. Однако моим любимым быстрым действием является Ответить и удалить. Выберите сообщение, а затем щелкните быстрое действие Ответить и удалить. После нажатия кнопки Отправить для ответного сообщения программа Outlook 2010 автоматически перемещает исходное сообщение в папку удаленных сообщений. Быстрое действие Ответить и удалить действительно изо дня в день помогает мне экономить время при ответах на входящие сообщения.</p><h2>Не делайте то, о чем пожалеете</h2><br/><p>Приходилось ли вам отправлять электронные сообщения случайно по ошибке большой группе людей? А приходилось ли вам тратить часы на подготовку письма, а потом узнавать, что адресата нет в офисе? Я бы хотела сказать, что никогда с этим не сталкивалась, но это было бы ложью. Outlook 2010 помо&shy;гает вам избежать таких ситуаций с помощью новой функции Почтовые подсказки.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image005.jpg width=448 height=300/></p><p>Почтовые подсказки сообщат вам о коли&shy;чес&shy;тве получателей вашего электронного письма, в том числе при создании списков рассылки, позволяя вам еще раз убедиться в правильности своих действий. Почтовые подсказки также сообщат о получателях, которые отсутствуют на рабочем месте, чтобы вы могли исключить таких получателей из списка рассылки. Вам больше не придется испытать разочарование, узнав, что сотрудников, которым вы отправили письмо, нет на месте.</p><p>Другой потенциальной проблемой для организаций являются пользователи, которые случайно отправляют конфиденциальные электронные письма получателям за пре&shy;де&shy;лами компании. Почтовые подсказки преду&shy;пре&shy;дят, что в полях Кому, Копия или Скрытая копия указаны адресаты, которые не должны получать от вас конфиденциальные сообщения, что сократит риски для компании и позволит вам избежать ошибочной отправки сообщений.</p><p><strong><em>Примечание</em></strong><em>. Для использования почтовых подсказок необходим Microsoft Exchange Server 2010 и услуги ИТ-специалистов. Обратитесь в ИТ-отдел, чтобы узнать об использовании почтовых подсказок в вашей организации.</em></p><h2>Не откладывайте на завтра то, что можно сделать сегодня</h2><br/><p>По мере знакомства с программами Office 2010, например с Outlook, вы заметите ве&shy;зде&shy;сущий значок присутствия, который инфор&shy;мирует о доступности ваших коллег. Степень доступности обозначается с помощью не&shy;боль&shy;ших графических элементов (драже), которые могут указывать, что сотрудник доступен для беседы (зеленый), находится на собрании (красный) или занят (желтый). Если щелкнуть имя сотрудника, отобразится окно, которое содержит его имя, фотографию и статус, а также позволяет отправить ему эле&shy;ктрон&shy;ное письмо, мгновенное сообщение, позвонить и многое другое.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image007.jpg width=458 height=395/></p><p>Я выбираю Юлию для отправки ей мгно&shy;венного сообщения. При этом откры&shy;вается окно Microsoft Office Communicator 2007 R2 (см. рисунок справа). Мне не тре&shy;буется искать контактную информацию Юлии, потому что Communicator получает ее с сервера Microsoft Office Communications Server 2007 R2. Кроме того, мне не нужно покидать Outlook 2010 для отправки мгно&shy;вен&shy;ного сообщения. Обмен мгновенными сообщениями позволяет мне задавать вопросы и быстро получать на них ответы, не дожидаясь ответа по электронной почте.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image008.jpg width=438 height=345/></p><p>Программа Microsoft Office Communicator также позволяет мне инициировать телефонные звонки сотрудникам из моего списка контактов. Для раз&shy;го&shy;воров с помощью Communicator я использую недо&shy;рогой микрофон и гарнитуру. Это средство комму&shy;никации через Интернет экономит мои деньги, потому что клиенты находятся далеко от меня, и телефон&shy;ные разговоры с ними будут достаточно дороги. Телефонные звонки с помощью Office Communicator сэкономят мои деньги и время.</p><p>Другой причиной использования Communicator для звонков является необходимость проведения демон&shy;страций во время ответов на вопросы моих клиен&shy;тов. Во время звонка я могу демонстрировать рабочий стол или какое-либо изображение, что позво&shy;ляет моим клиентам видеть на своих мони&shy;торах то же, что вижу я. Такие звонки позволяют мне предоставлять обслуживание более высокого уровня без необходимости личного посещения клиентов.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image009.jpg width=358 height=145/></p><p>Примечание. Для использования системы обмена мгновенными сообщениями или статусов присутствия требуется Microsoft Office Communications Server 2007 R2 и Microsoft Office.</p><h2>Поддерживайте социальные и деловые контакты</h2><br/><p>Веб-сайты социальных сетей быстро завоевали популярность среди подростков, которым был нужен способ оставаться на связи друг с другом. Однако социальные сети все чаще используются в качестве средства общения с кол&shy;легами, поставщиками и заказчиками. Программа Outlook 2010 упрощает общение в ваших социальных и деловых сетях, заменяя для этих целей веб-браузер.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image010.jpg width=452 height=259/></p><p>Например, когда вы получаете от кого-либо электронное письмо, вы можете быстро добавить новую контактную информацию в экспресс-контакты Outlook 2010. Список экспресс-контактов может быть разбит на ка&shy;те&shy;гории по вашему выбору. На рисунке слева показано, что я добавила Ольгу в категорию Контакты поставщиков моих экс&shy;пресс-контактов.</p><p>Список экспресс-контактов расположен в нижней части области чтения Outlook 2010 и может быть расширен для показа всех ваших групп экспресс-контактов и контактов внутри каждой группы (см. рисунок справа).</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image011.jpg width=228 height=300/></p><p>Список экспресс-контактов отображает контакты, выбранные вами из вашей корпоративной сети или из любой социальной сети, предоставляющей загружаемую версию Outlook Social Connector. Отслеживайте новости на популярных веб-сайтах социальных сетей о поддержке Outlook Social Connector.</p><p>После установки вы можете обмениваться мгновенными сообщениями и электронными письмами с контактами из ваших любимых социальных сетей, не покидая Outlook 2010 и Microsoft Office Communicator. Например, если в Outlook 2010 я добавлю контакт Ольга в группу Контакты поставщиков, то Communicator автоматически отразит это изменение (см. рисунок ниже). Мне больше не требуется использовать отдельный клиент для обмена мгновенными сообщениями с контактами в моих социальных сетях.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image012.jpg width=300 height=424/></p><p><strong><em>Примечание</em></strong><em>. Для использования этих функций необходим SharePoint Server 2010 или учетная запись Windows Live. Вы также можете <a href=http://www.microsoft.com/office/2010/en/socialconnector/default.aspx target=_blank>узнать подробнее об Outlook Social Connector</a>.</em></p><h2>Ускорение реализации проектов</h2><br/><p>В прошлом совместная работа над документами Word, таблицами Excel, презентациями PowerPoint или заметками OneNote была затруднена из-за отсутствия возможности одновременного редактирования файлов несколькими пользователями. Теперь благодаря Word 2010, PowerPoint 2010, Excel Web App и общим заметкам OneNote несколько сотрудников могут одновременно редактировать один и тот же файл. Совместное редак&shy;тирование упрощает разделение работы и позволяет ключевым сотрудникам работать одновременно над одним и тем же документом, даже если они находятся далеко друг от друга.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image014.jpg width=211 height=318/></p><p>В Word 2010 новая область навигации структурирует ваш документ по заго&shy;ловкам (например, заголовок 1, заголовок 2 и заголовок 3) и представляет список в графическом виде. Область навигации упрощает изменение расположения разделов путем их простого перетаскивания с места на место.</p><p>При одновременном редактировании документа нескольким сотрудникам в области навигации отображается информация о том, кто и над каким раз&shy;делом работает.</p><p>Если файл редактируется в Word 2010, PowerPoint 2010, Excel Web App или OneNote нескольким сотрудникам, то сделанные ими изменения помечаются соответствующим образом. Поскольку теперь пользователи могут одно&shy;вре&shy;менно работать над одним и тем же документом, не дожидаясь своей очереди, вы можете ускорить реализацию проектов.</p><h2> Подготовка документов к отправке</h2><br/><p>Процесс отправки готовых документов на печать или по электронной почте может быть оптимизирован с помощью нового представления Backstage. Возможности представления Backstage значительно превосходят возможности меню Файл. Например, в представлении Backstage объединены команды печати и предварительного просмотра.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/28/image013.jpg width=475 height=436/></p><p>Представление Backstage позволяет также отправлять документы по электронной почте и сохранять файлы на сетевых дисках, в Windows Live SkyDrive или на сайтах SharePoint. Представление Backstage можно также использовать для контроля доступа к документам, управления версиями, отката к предыдущим версиям или проверки читаемости документов, чтобы с ними могли беспрепятственно работать пользователи с нарушениями зрения.</p><h2>Оптимизация коммуникаций</h2><br/><p>Вы можете начать с <a href=http://www.microsoft.com/office/2010/ target=_blank>установки бета-версии Office 2010</a>. После установки я рекомендую упорядочить письма в вашей папке Входящие по беседам и поэкспериментировать с некоторыми функциями управления входящей почтой.</p><p>Затем запланируйте в расписании сеанс конференц-связи посредством программы Microsoft Office Communicator и попробуйте показать свой рабочий стол пользователям, которые находятся в других местах. Далее попытайтесь отредактировать документ Word 2010 или презентацию PowerPoint 2010, которые уже кем-либо открыты. В конце концов, мы все можем использовать более эффективные инструменты для оптимизации коммуникаций и быстрого выполнения рабочих задач.</p><h2>Об авторе</h2><em><br/></em> <p><em>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой контента для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже более 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</em></p> http://www.microsoft.com/rus/business/smb/blog/28/ Microsoft for Business <p>Различие между данными и информацией заключается в том, что данные - это всего лишь набор чисел, а информация - это числа, которые имеют для вас определенное значение. Данная статья посвящена тому, как новые и улучшенные возможности программ Microsoft Office 2010, среди которых Excel и Access, помогают превратить данные в информацию и донести ее в более наглядном виде.</p><h2>Не стоит начинать с нуля</h2><br/><p>Когда мне необходимо решить новую задачу, связанную с обработкой данных, сначала я ищу подходящий шаблон. Например, если мне необходимо подготовить новый бюджет в Excel 2010, я ищу подходящий шаблон бюджета, а затем адаптирую его для решения новой задачи. Аналогичным образом, если мне необходимо создать новую базу данных, я никогда не начну с пустой базы данных, вместо этого я выберу шаблон или образец, например базу данных Борей, известную тем, кто использует Microsoft Access не первый год.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image001.png width=90%/></p><p>Приложения Office 2010 имеют множество новых и обновленных шаблонов, позво&shy;ляю&shy;щих экономить время и ускорить реа&shy;лиза&shy;цию ваших проектов.</p><p>Если у меня уже есть данные для работы, я ищу кратчайший путь сделать их удобными для чтения и вос&shy;приятия. Первое, что я де&shy;лаю, когда открываю неот&shy;форма&shy;ти&shy;рованную таблицу в Excel 2010, - использую команду Форматировать как таблицу, чтобы придать данным профессиональный вид всего лишь несколькими щелчками мыши.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image002.png width=505 height=548/></p><p>Access 2010 также предлагает быстрый способ добавления новой функциональности в ваши базы данных. Например, новое средство Части приложения представляет собой набор широко используемых компонентов, которые можно добавить в базы данных, чтобы сэкономить время, вне зависимости от того, являетесь ли вы новичком или профессионалом в области баз данных. Новые поля быстрого запуска являются часто используемыми полями, которые можно добавлять в ваши таблицы, отчеты или запросы.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image003.png width=400 height=503/></p><p>Данные из Excel 2010 и Access 2010 можно использовать в документах, с которыми прихо&shy;дится иметь дело каждый день, например в от&shy;четах и презентациях, путем простого копиро&shy;вания и вставки. Чтобы обеспечить более тесную интеграцию данных с другими задачами, темы документов Word или презентаций PowerPoint можно применять в Access 2010 и Excel 2010.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image004.png width=295 height=420/></p><h2>Позвольте числам говорить</h2><br/><p>Если вашей целью является превращение данных в информацию, то для наглядного представления вашей точки зрения можно использовать Excel 2010. Например, включение таблицы с числовыми данными в отчет может быть полезным, однако ценность такой таблицы повышается, если подчеркнуть в ней важные моменты.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image005.png width=90%/></p><p>Условное форматирование в Excel 2010 поз&shy;во&shy;ляет указать, должна ли программа из&shy;менять форматирование ячейки или отобра&shy;жать опре&shy;де&shy;ленный символ при выполнении некоторого условия. Напри&shy;мер, в таблице продаж, пока&shy;зан&shy;ной справа, мы отображаем процентное отклонение фак&shy;тических данных от целевых показателей про&shy;даж. В стол&shy;бце<strong>% Отклонения</strong> мы используем условное форматирование, чтобы про&shy;грам&shy;ма Excel отображала зеленый значок для зна&shy;чи&shy;тельно перевыполненных показа&shy;телей продаж, желтый значок для близких к выполнению или незначительно перевы&shy;полненных пока&shy;зателей продаж и красный значок для показателей, которые не были достигнуты.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image006.png width=90%/></p><p>Преимущество условного форматирования состоит в том, что форматирование или символы изменяются автоматически по мере изменения данных, при этом внесение в таб&shy;лицу изменений становится простой задачей даже для неопытных пользователей Excel. Условное форма&shy;тирование Excel 2010 улуч&shy;шено с помощью дополнительных стилей, наборов значков и гистограммами, возмож&shy;ностью выделять минимальные или макси&shy;маль&shy;ные значения, и еще большей гибкостью в выборе пра&shy;вил, определяющих форма&shy;ти&shy;рование.</p><p>Excel 2010 также позволяет легко выявлять тенденции с помощью нового инструмента под названием спарклайны. Спарклайны - это миниатюрные диаграммы (линейные, столбчатые или выигрыша/проигрыша), кото&shy;рые можно разместить в одной ячейке эле&shy;ктрон&shy;ной таблицы. Спарклайны обобщают диапазон данных, например в столбце Спарклайны на рисунке слева содержатся данные о продажах на протяжении 4 кварталов.</p><p>Столбец Спарклайны облегчает выяв&shy;ление тенденции снижения или повышения объемов продаж для каждого продукта. Для выявления тенденций без исполь&shy;зования спарклайнов пришлось бы по&shy;строч&shy;но изучать все данные.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image007.png width=90%/></p><p>Мне очень нравятся в Excel графики сводной таблицы, поскольку они помогают легко и быстро группировать и обобщать данные. Аналогичным образом, графики сводной диаграммы в Excel помогают создавать графики на основе сводных таблиц, которые делают данные еще более наглядными. В Excel 2007 сводные диа&shy;грам&shy;мы можно создавать только после создания сводной таблицы. Excel 2010 ускоряет работу за счет того, что соз&shy;дание сводной таблицы проис&shy;ходит одно&shy;вре&shy;м&shy;енно с соз&shy;да&shy;нием сводной диа&shy;грам&shy;мы (см. рисунок слева).</p><p>Следует отметить еще одну важную особен&shy;ность сводных диаграмм. Кнопки полей позволяют выбрать или очистить отобра&shy;жаемые поля, благодаря чему происходит оперативное изменение данных в сводной диаграмме. Анализ данных становится намного более понятным, когда их можно так легко включать и отключать.</p><p>В то же время Excel 2010 упрощает обнов&shy;ление графиков, названий, осей, областей построения, линий тенденций и условных обозначений сводных диаграмм. Кроме того, чтобы сделать заметными ваши графики и рисунки, можно использовать те же новые инструменты текстового форматирования, которые есть в других программах Office 2010, таких как Word и PowerPoint (например, эффекты затенения, отражения, подсветки и скоса).</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image008.png width=90%/></p><p>Excel 2010 улучшает возможности анализа данных с помощью новой функции под названием срезы. Срезы превращают сводные таблицы в интерактивные инстру&shy;мен&shy;ты для мгновенной фильтрации и вы&shy;бор&shy;ки данных. Например, в нижеприве&shy;ден&shy;ной сводной таблице содержатся пока&shy;за&shy;тели продаж с разбивкой по категориям и товарам за 4 квартала. Если вы зна&shy;ли, к какой категории относится товар, вы могли бы найти показатели продаж для него путем раскрытия категории с последующим просмотром списка. Однако более быстрым способом поиска показателей продаж определенного товара является добавление среза в сводную таблицу для поля Товар. Срез товара добавляет прекрасно оформленную область, в которой пере&shy;числены все товары. При щелчке названия товара сводная таблица автоматически выбирает и отображает только те данные, которые относятся к этому продукту.</p><h2>Размер не имеет значения</h2><br/><p>Excel 2010 предназначен для тех, кто использует большие или очень сложные таблицы. Теперь можно работать с еще большими объемами данных, чем когда-либо. Наборы данных могут достигать впечатляющего размера - около 2 гигабайт. Теперь доступна 64-разрядная версия Excel 2010, позволяющая использовать преимущества более мощных 64-разрядных процессоров.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image009.png width=476 height=667/></p><p>Упрощенная фильтрация данных улучшает работу с таблицами, содержащими огромное количество строк и столбцов. Во время фильтрации данных (выберите команду Фильтр на вкладке Данные) область параметров фильтра отображает все возможные параметры фильтра, которые могут насчитывать тысячи элементов в большой таблице. Теперь можно легко найти необходимый параметр фильтра путем ввода его названия в соответствующее поле поиска.</p><h2> Совместная работа, совместные результаты</h2><br/><p>При бизнес-анализе часто могут потребо&shy;ваться знания и навыки других специалистов, находящихся как внутри, так и за пределами вашей компании. При этом у них может и не быть программы Excel 2010. Это можно сделать путем сохранения результатов вашей работы с помощью бесплатного веб-сервиса <a href=http://skydrive.live.com/ target=_blank>Windows Live SkyDrive</a> или на веб-сайте Microsoft SharePoint 2010. Сохраняйте данные в Windows Live SkyDrive или SharePoint 2010 напрямую из Excel 2010 с помощью нового представления Backstage ;, которое ранее называлось меню Файл.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image010.png width=90%/></p><p>После сохранения таблицы в Интернете можно пригласить других специалистов просмотреть, отредактировать, загру&shy;зить или удалить соответствующий файл (см. рисунок сле&shy;ва). К файлу можно добавлять коммен&shy;тарии, которые будут доступны для про&shy;смотра вам и другим приглашенным поль&shy;зо&shy;вателям.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image011.png width=90%/></p><p>Excel 2010 позволяет приглашенным пользователям (например, бизнес-консультанту или бухгалтеру) просма&shy;три&shy;вать или вносить простейшие изменения в таблицу через веб-браузер, то есть для этого даже не нужна про&shy;грамма Excel.</p><p>Это стало возможным благодаря веб-версиям Word 2010, Excel 2010, PowerPoint 2010 и OneNote 2010, которые доступны на веб-сайтах SharePoint и Windows Live SkyDrive. Эти веб-версии называются веб-приложениями Office Web Apps.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/27/image012.png width=90%/></p><p>Например, веб-приложение Excel Web App позволяет нескольким пользователям одно&shy;вре&shy;менно редактировать один и тот же файл, при этом Excel помечает авторство изменений в соответствующей области, поэтому в даль&shy;нейшем вы сможете легко сориентироваться во внесенных изменениях.</p><h2>Приступите к бизнес-анализу сегодня</h2><br/><p>Инструменты, обсуждавшиеся в этой статье, должны вселить в вас уверенность, что помощью программ Excel 2010 и Access 2010 вы можете превратить данные в инфор&shy;мацию. Начните с шаблонов, используйте новые возможности, например спарклайны и срезы, чтобы сделать ваши данные более нагляд&shy;ными и продемонстрировать автори&shy;тетным экспертам свою бизнес-информацию путем ее публикации в Интернете.</p><h2>Об авторе</h2><br/><p>Нэнси Буханан (Nancy Buchanan) работает внештатным консультантом по маркетингу, а также занимается настройкой веб-сайтов SharePoint в интрасетях и разработкой содержимого для запуска новых продуктов в корпорации Майкрософт. До переезда вместе с семьей в сельский населенный пункт в штате Вашингтон в 2002 году она восемь лет проработала менеджером продуктов в корпорации Майкрософт. Уже больше 25 лет она занимается продажами и маркетингом в сфере высоких технологий в Тихоокеанском Северо-Западе.</p> http://www.microsoft.com/rus/business/smb/blog/27/ Microsoft for Business <p>Одна из типовых задач любого бизнеса - это заполнение и печать всяческих бланков, форм, счетов-актов и т.п. Microsoft Excel может легко помочь в таких ситуациях. Предположим, у нас имеется база данных (список, таблица) с информацией по платежам на листе <em>Данные</em>:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/26/img002.jpg alt=Описание: http://www.planetaexcel.ru/images/tips_pics/order_database1.gif width=90%/></p><p><strong>Задача</strong>: быстро распечатывать приходно-кассовый ордер (платежку, счет-фактуру...) для любой нужной записи выбранной из этого списка (вот пример для третьей записи):</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/26/img004.png width=90%/></p><h2>Шаг 1. Создаем бланк</h2><br/><p>На другом листе книги (назовем этот лист <em>Бланк</em>) создаем пустой бланк. Можно самостоятельно, можно воспользоваться готовыми бланками, взятыми, например, с сайта <a href=http://office.microsoft.com/><strong>office</strong><strong>.</strong><strong>microsoft</strong><strong>.</strong><strong>com</strong></a> из раздела <strong>Шаблоны</strong> <strong>(</strong><strong>Templates</strong><strong>)</strong>. Выбор там богатый:</p><p> <img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/26/img006.png width=90%/></p><p>В пустые ячейки созданного бланка (<em>Счет, Сумма, Принято от</em> и т.д.) будут попадать данные из таблицы платежей с другого листа - чуть позже мы этим займемся.</p><h2>Шаг 2. Подготовка таблицы платежей</h2><br/><p>Прежде чем брать данные из таблицы для нашего бланка, таблицу необходимо слегка модернизировать. А именно:</p><ul><li>Вставьте пустой столбец слева от таблицы. Мы будем использовать для ввода метки (пусть это будет английская буква икс) напротив той строки, данные из которой мы хотим добавить в форму:<br/><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/26/img008.jpg width=213 height=283/></li><li>Отформатируем наш диапазон с данными как Таблицу, чтобы проще было вводить новые данные в будущем. Для этого диапазон необходимо выделить и выбрать на вкладке <strong>Главная (</strong><strong>Home</strong><strong>)</strong> команду<strong> Форматировать как таблицу (</strong><strong>Format</strong> <strong>as</strong> <strong>Table</strong><strong>)</strong>:<br/><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/26/img009.png width=384 height=420/></li><li>На появившейся после форматирования в предыдущем пункте вкладке <strong>Конструктор (</strong><strong>Design</strong><strong>)</strong> зададим имя нашей таблицы, например <em>БазаДанных</em>. Это позволит в будущем использовать имя диапазона как имя таблицы в формулах, независимо от ее размеров. Т.е. при дописывании новых данных в таблицу, нам не придется каждый раз корректировать формулы на бланке. </li></ul><h2>Шаг 3. Связываем таблицу и бланк</h2><br/><p>Для связи используем функцию <strong>ВПР</strong><strong> (VLOOKUP)</strong> - подробнее про нее можно почитать и посмотреть обучающее видео <a href=http://www.planetaexcel.ru/tip.php?aid=26 target=_blank><strong>здесь</strong></a>. В нашем случае для того, чтобы вставить в ячейку F9 на бланке номер помеченного x платежа с листа <em>Данные</em> надо ввести в ячейку F9 такую формулу:</p><p> <em>=ВПР(x;БазаДанных;2;ЛОЖЬ)</em></p><p> Т.е., говоря простым языком, функция должна найти в диапазоне <em>БазаДанных</em> строку, начинающуюся с символа х и выдать нам содержимое второго столбца этой строки, т.е. номер платежа.</p><p> Аналогичным образом заполняются все остальные ячейки на бланке - в формуле меняется только номер столбца.</p><p> К сожалению, Microsoft Excel не имеет стандартных встроенных функций для вывода суммы прописью, что часто необходимо для счетов, актов и договоров. Для решения этой проблемы нужны макросы - программы на встроенном в Office языке программирования Visual Basic for Application (VBA), которые добавляют недостающий функционал. Найти макрос для вывода суммы прописью можно, например, <a href=http://www.planetaexcel.ru/tip.php?aid=253 target=_blank><strong>тут</strong></a>. </p><h2>Шаг 4. Чтобы не было двух х...</h2><br/><p>Если пользователь введет х напротив нескольких строк, то функция ВПР будет брать только первое найденное значение. Чтобы не было такой многозначности, щелкните правой кнопкой мыши по ярлычку листа <em>Данные</em> и выберите <strong>Исходный текст </strong><strong>(Source Code)</strong>. В появившееся окно редактора Visual Basic скопируйте следующий код, который не дает пользователю ввести больше одного х в первый столбец:</p><table> <tbody><tr> <td> <p>Private Sub Worksheet_Change(ByVal Target As Range)<br/>Dim r As Long<br/>Dim str As String</p><p> If Target.Count &gt; 1 Then Exit Sub<br/>If Target.Column = 1 Then<br/>str = Target.Value<br/>Application.EnableEvents = False<br/>r = Cells(Rows.Count, 2).End(xlUp).Row<br/>Range(A2:A &amp; r).ClearContents<br/>Target.Value = str<br/>End If<br/>Application.EnableEvents = True<br/>End Sub</p></td></tr></tbody></table> http://www.microsoft.com/rus/business/smb/blog/26/ Microsoft for Business <p>Для многих небольших компаний развертывание полноценной корпоративной системы пока представляется практически не реализуемой задачей. По причине отсутствия значительных свободных средств, специалистов способных развернуть такую систему, а, самое главное, из-за незнания о существовании решений, позволяющих даже крохотным компаниям создавать полноценную IT-инфраструктуру, не тратя на это баснословные суммы.</p><p>В Microsoft уже очень давно поняли, что малый бизнес, в силу своей специфики, нуждается в специально предназначенных для него продуктах. Тщательно проанализировав особенности, и потребности бизнеса в зависимости от его величины специалисты корпорации разделили все организации на несколько сегментов.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/25/img002.png width=90%/></p><br/><p> Такое деление было предложено не случайно, оно учитывает специфику использования компьютерной техники в организациях с различным числом компьютеров. Так если дома, независимо от того, используются ли компьютеры для отдыха и развлечений, или для работы в домашнем офисе, нет необходимости, ни в администрировании, ни в единой политике безопасности и хранения документов потому, что каждый компьютер находится в личной собственности кого-либо из проживающих в доме, и владелец сам определяет, что и как ему лучше сделать, то в любой организации, даже самой маленькой, требования единой политики выходят на первый план. Однако, если в организации меньше 5 компьютеров, максимум что она может себе позволить, - это приходящий системный администратор, который фактически только устраняет возникающие неисправности. Предприятие находящееся на базовом уровне малого бизнеса также, может обходится приходящим администратором, но чаще всего вынуждено либо выделять ему в помощь кого-либо из более-менее разбирающихся в компьютерах сотрудников, либо содержать системного администратора в штате. Если у организации становится больше 25 компьютеров, то без штатного админа она уже вряд-ли сможет обойтись. А при приближении числа компьютеров к 50, скорее всего, потребуется и помощник системного администратора. В организации, которая, по числу компьютеров, находится базовом уровне среднего бизнеса, как правило, приходится создавать уже IT-отдел, потому, что требуется координация действий всех IT-специалистов. Если число компьютеров становится более 250, то кроме мощного IT-отдела фирма обычно обзаводится и отдельным IT-бюджетом. Ну а на уровне корпорации практически обязательным становится отдельный департамент занимающийся управлением и планированием работы всех имеющихся в организации IT-отделов. Разумеется, это деление условное и в разных фирмах может быть совершенно разное состояние IT-инфраструктуры, но оно отражает положение дел в большинстве организаций и позволяет выделить наиболее важные для каждого из сегментов требования к программному обеспечению.</p><p>Внимательно изучив особенности IT-инфраструктуры в организациях с различным количеством компьютеров, специалисты Microsoft постарались создать и предложить решения, максимально учитывающие специфику каждого из сегментов. В том числе и потребности небольших предприятий и организаций. Уже сейчас есть возможность приобрести целый ряд серверных продуктов, и в ближайшее время появятся еще несколько решений специально созданных для малого бизнеса.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/25/img004.png width=90%/></p><p>Как видно из рисунка, специалисты Microsoft постарались создать серверные системы, ориентированные на все сегменты использования компьютерной техники. Есть решения и для домашних пользователей, и для малого и среднего бизнеса, и для крупных корпораций. Давайте попробуем немного подробнее рассмотреть серверные решения, предлагаемые для небольших компаний.</p><p> Прежде всего, это конечно Windows SBS 2011 Standard, который в состоянии обеспечить практически все, что может потребоваться от IT-инфраструктуры предприятия или организации, в которой работает до 75 компьютеров. Являясь сервером решений, он обеспечивает работу электронной почты, подключение к Интернету, позволяет создать внутренние веб-узлы, обеспечивает удаленный доступ к файлам и почте, поддержку мобильных устройств, совместное использование файлов и принтеров, резервное копирование и восстановление. Причем с его установкой, настройкой и администрированием в состоянии справится даже начинающий специалист. А имеющиеся в нем инструменты и мастера гарантируют правильную настройку сервера и его безотказную работу. Windows SBS 2011 Standard доступен для заказа с начала этого года, по цене не на много выше чем Windows Server 2008 R2 Standard, но при куда больших возможностях, и очень простом администрировании.</p><p> Для самых мелких организаций представляет большой интерес Windows Server 2008 R2 Foundation, предназначенный для работы не более чем с 15 компьютерами. Приобрести его можно только вместе с новым компьютером. В отличие от SBS-серверов, Foundation-сервер является традиционным сервером, требующим для установки, настройки и администрирования соответствующей квалификации IT-специалистов, поэтому поставки этого сервера в уже настроенном виде позволяют исключить проблемы связанные недостаточной квалификацией персонала и гарантируют нормальную работу сразу после приобретения. При этом, цена компьютера, с предустановленным Windows Server 2008 R2 Foundation, практически такая же, как у аналогичного компьютера, с предустановленной клиентской операционной системой, старших редакций. Поэтому для мелких компаний этот сервер будет чрезвычайно выгодным приобретением, позволяющим значительно повысить надежность, управляемость и безопасность IT-инфраструктуры, при минимальных расходах.</p><p> С 1-го марта стал доступен для заказа еще один специально разработанный для небольших групп сервер - Windows MultiPoint Server 2011. И хотя он предназначен в основном для сферы образования, премиум редакция этого сервера может быть очень интересным решением, позволяющим заменить сервер терминалов, или, как он сейчас называется, - службу удаленных рабочих столов. Основным преимуществом Windows MultiPoint Server 2011, поддерживающего, в премиум редакции, одновременную работу до 20 пользователей, является простота настройки и администрирования всех клиентов.</p><p> Еще одни сервер для малого бизнеса, Windows SBS 2011 Essentials, должен стать доступным для заказа, в течение этого года. Он будет предназначен для работы в компаниях, имеющих до 25 компьютеров. Сейчас идет бета-тестирование релиз-кандидата этого продукта. Фактически этот сервер является младшим братом Windows SBS 2011 Standard, унаследовавшим от него все преимущества простоты настройки и администрирования, но, для снижения стоимости, часть функций, необходимых IT-инфраструктуре организации, в нем решена за счет использования облачных сервисов.</p><p> Таким образом, уже сейчас есть решения, позволяющие небольшим организациям перейти на использование IT-инфраструктуры на основе сервера, значительно повысив её надежность, управляемость и безопасность. И при этом подобрать наиболее подходящее для каждой конкретной организации решение, сэкономив весьма солидные средства. </p> http://www.microsoft.com/rus/business/smb/blog/25/ Microsoft for Business <p> Календарь, список задач, электронная почта - рабочие инструменты любого занятого человека. Outlook обеспечивает легкость и удобство их использования. В этой статье я привожу простые способы кардинального повышения продуктивности с использованием Outlook, как составляющей части системы управления временем.</p><p>Причины, обусловившие появление искусства управления временем, очевидны. Тем не менее, некоторые из них стоит упомянуть особо.</p><p>Низкая производительность - худшее из следствий неумелого управления временем. Она отрицательно сказывается на конкурентоспособности как целых предприятий, так и отдельных людей. В первом случае, предприятия, имеющие несобранных сотрудников, проигрывают рынкам. Во втором - сотрудники проигрывают карьерную борьбу более организованным коллегам. </p><p>Обе ситуации ведут к снижению доходов, потере общественного уважения. Поставленные цели, имеющиеся мечты - все это разобьется о скалы плохой организации собственной работы.</p><p>Давайте посмотрим на некоторые причины этих проблем.</p><p>У сотрудников, профессионализм которых не вызывает нареканий, значительной проблемой, влияющей на производительность, является большой поток поступающей информации. Эта проблема особенно актуальна для крупных предприятий, руководители отделов которых имеют десятки подчиненных. </p><p>Сотни писем, несмолкающий телефон, постоянные совещания и доклады секретаря не просто отнимают массу времени. Они приносят такой объем информации, на простую обработку которого нужно почти все время рабочего дня. Для исполнения непосредственных обязанностей очень и очень многим занятым работникам приходится приезжать в офис раньше и уезжать позже, брать работу на дом.</p><p>По факту, собственно своей работой эти сотрудники занимаются в нерабочее время. На работе их день занят простым реагированием на потоки поступающей информацией и не всегда успешными попытками взять ее под контроль. </p><p>Стоит ли говорить, что постоянный недосып, постоянные стрессы, вынужденная работа дома не добавляют креативности. Накапливающееся утомление ведет к потере ясности мысли, стрессы отрицательно влияют на атмосферу в коллективе. В режиме овердрайва такой сотрудник недолго протянет. Он или сломается и уволится, или перестанет вкладывать в работу душу, став еще одной низко продуктивной единицей.</p><p>К счастью, существуют простые способы, позволяющие значительно повысить продуктивность сильно нагруженного человека. Снять с него эмоциональную нагрузку. Освоивший эти навыки человек может поднять свою продуктивность в 5-6 раз, не прикладывая больших усилий. </p><p>Любой человек, освоивший навыки системы управления временем, сможет работать в сложных ситуациях, обрабатывать большие объемы информации и отвечать за выполнение очень ответственных проектов. При этом всегда укладываться в сроки своей работы, не испытывать стрессов, снизить психофизические нагрузки до нормального уровня. </p><p>Такой сотрудник будет всегда знать, что нужно сделать в первую голову. Он всегда будет знать, какие конкретно действия должен предпринять лично он и его подчиненные. Он всегда будет высыпаться, всегда будет успевать принять и ответить на очень большое количество входящих сообщений. Такой человек ничего не забудет, ничего не выпустит из поля зрения. И, да - он будет делать это без напряжения - в нормальном, спокойном, режиме. Планово и методично.</p><p>Скажете фантастика? Нет! Это реальность, доступная каждому.</p><p>Ниже я опишу некоторые приемы, используя которые можно поднять свою продуктивность <strong>минимум</strong> в 2 раза.</p><h2>Приемы поднятия продуктивности</h2><br/><p>Итак, предположим, речь идет о сотруднике, профессионализм которого не вызывает сомнений. Он знает, что нужно делать, к каким срокам. Просто у него так много работы, что туши свет. Как ему справиться со своими делами, да еще выкроить время на себя и близких?</p><p>Первым делом необходимо отказаться от работы в режиме мгновенного реагирования на поступающие раздражители. И пусть весь мир подождет! - этот слоган как нельзя лучше подходит для описания того состояния, которое он должен принять.</p><p><strong>И пусть весь мир подождет... пока я закончу то дело, что у меня в руках!</strong></p><p>Вот правильный слоган, который мы возьмем на вооружение.</p><p>Для того чтобы весь мир подождал, необходимо обеспечить ему надлежащие условия. Это просто. Информация поступает к нам по относительно структурированным каналам. Телефон, электронная почта, смс, мгновенные сообщения, записки на бумаге. Все это дает возможность отложить стремящееся к вам сообщение куда-то, где оно терпеливо будет ждать момента, когда вы закончите дело, которое у вас в руках и обратите внимание к новому.</p><p>Место, где поступающая информация ждет вашего внимания, называется накопитель. Это простой инструмент, позволяющий хранить информацию с момента ее поступления и до момента вашего обращения к ней. Им может быть все, что может хранить данные: папка Входящие в почте, голосовая почта, лоток для бумаг на столе, специальная папка на рабочем столе или на сервере, диктофон. Надеюсь, принцип понятен?</p><p>Установка накопителя - первый и главный шаг, позволяющий выйти из губительного режима зависимости от вала поступающих к вам данных. Если вы стоите и обсуждаете важный проект с коллегой в коридоре, а в это время подчиненные постоянно подходят с донесениями, качество беседы сильно пострадает. Достаточно приучить их отправлять донесения на почту или приносить на листе бумаги, и важное обсуждение спасено, - вы полностью сконцентрированы на предмете разговора. </p><p>Все, что требуется потом - достать из кармана или портфеля (или из почты) листки с донесениями и <strong>по одному</strong> просмотреть их. Думаю, не стоит говорить, насколько один только этот простой шаг снизит эмоциональную нагрузку. Вы просто больше не будете волноваться - все ли правильно поняли, ничего ли не забыли. </p><p>Следующий шаг - подвергать все извлекаемое из накопителя стандартной процедуре анализа. Эта великолепная процедура разработана Девидом Алленом. Я же ее несколько упростил, что, похоже, только пошло на пользу.</p><p>Смысл ее в том, чтобы немедленно понять, что за информация к вам поступила, требует ли она вашего реагирования или это просто мусор, не нарушит ли она курса вашего движения? Одним из главных этапов простой процедуры анализа является выявления элементарного действия, связанного с поступившими данными. </p><p>Следуя этой процедуре, вы превращаетесь в эдакого экстрасенса, который в курсе всего, что связано с потоками информации, его касающимися. Вы четко знаете, где что происходит и что нужно сделать.</p><p>Вот эта процедура:</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/24/img002.png/></p><p>Этот алгоритм анализа поступающих данных обеспечивает:</p><ul><li>Немедленную фильтрацию и удаление ненужного</li><li>Немедленное выявление и, если возможно, исполнение необходимых действий</li><li>При невозможности немедленного исполнения, надежное сохранение упоминания о задаче, которую нужно решить</li><li>Удобное хранение документов, сопровождающих вашу деятельность</li></ul><p>В конечном счете, человек, применяющий данный алгоритм, не имеет в своем кабинете ни одного листика бумаги, ни одного файла в компьютере, по которому он не может отчитаться: что это и почему это нужно. А также, будет что-либо предприниматься в связи с этими данными или нет.</p><p>Прежде чем перейти к обзору функций Outlookв рамках данной системы, еще раз вернемся назад.</p><p>Для значительного повышения производительности и снижения стрессов, первым и главным шагом является установка буфера между собой и жаждущей вашего внимания поступающей информацией. </p><p>Этот буфер называется накопитель. Он представляет собой все, что может хранить поступившие данные до того момента, когда вы сможете обратиться к ним. На схеме накопитель изображен в виде лотка для бумаг.</p><p>Второй и главный шаг - соблюдение алгоритма анализа извлекаемых из накопителя данных. </p><p>Теперь обращаемся к тому, как здесь участвует Outlook.</p><h2>Создание списков дел</h2><br/><p>Как видно на схеме, один из ответов на вопрос могу ли я сделать его прямо сейчас?, после выявления связанного с поступившей информацией действия - отрицательный. </p><p>В таком случае, мы оказываемся перед необходимостью сохранить упоминание о действии, которое необходимо совершить. Здесь нам приходит на помощь модуль Задачи программы Outlook.</p><p>Итак, как видно из схемы, выявленное действие, которое невозможно реализовать прямо сейчас, стоит записать в одну из четырех категорий. Для этого, необходимо создать их в модуле Задачи. <img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/24/img003.png/></p><p>После чего в каждую из этих категорий можно добавлять записи.</p><p>Outlookпозволяет делать это легко и просто, прямо из окна работы с почтой.</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/24/img005.jpg/></p><p>В данном случае, мне прислали письмо, по которому я выявил действие: <strong>собрать материалы для встречи с Викторией. </strong></p><p>В силу каких-то причин я не могу выполнить его прямо сейчас. Поэтому нужно занести упоминание о действии в список дел. Для чего нужно понять, <strong>когда мне следует</strong> это сделать. То есть, когда мне нужно собрать материалы для встречи?</p><p>Мне нужно это сделать в понедельник. Сегодня 20 марта, понедельник - 21, то есть завтра. Поэтому я вбиваю в поле, где виднеется надпись введите новую задачу (правый нижний угол скриншота) четкое действие собрать материалы для встречи с Викторией и, нажав Enter, перетаскиваю задачу в категорию 1. СЕГОДНЯ-ЗАВТРА.</p><p>Одномоментно мой смартфон получает эту задачу через настроенную синхронизацию с Bluetooth, так что в понедельник, даже если я не открою список дел на компьютере, я открою его на смартфоне и увижу, что мне нужно собрать материалы для встречи.</p><p>Само собой, я вношу в календарь время встречи с Викторией. Что тоже моментально синхронизируется со смартфоном. </p><p>В категориях 2. ПОЗЖЕ и 3. ТОЧНО В СРОК включаются дела, исполнение которых, соответственно, не требуется в ближайшее время, и те, которые нужно сделать четко в тот час, когда необходимо. </p><p>Категория 4. ВОЗМОЖНО В БУДУЩЕМ - особая зона. Там хранятся упоминания о тех делах, выполнить которые вы хотели бы, но сейчас это объективно невозможно. Например, выучить иностранный язык или записаться в фотошколу.</p><p>Фиксируя все выявленные действия, выполнение которых прямо сейчас невозможно, мы снимаем с себя тяжкий груз постоянного запоминания. Практически все люди не понимают, насколько это тяжкий интеллектуальный, физический и эмоциональный труд. Потому что они находятся в состоянии, когда вынуждены постоянно о чем-то помнить, всю жизнь.</p><p><em>Те, кто хотя бы раз почувствовал, что значит освободить свою память, прошлое состояние воспринимают не иначе, как муку. Возврат к необходимости специально что-либо запоминать, для таких людей исключительно неприятен, он вызывает огромный дискомфорт. </em></p><p><em>Одновременно, свободные от необходимости постоянного расходования ресурсов мозга на простое удержание чего-то в памяти люди, показывают значительный рост творческих способностей. Освобожденные от непрофильной загрузки ресурсы сознания, направляются на решение важных задач и генерируют потоки свежих идей.</em></p><p>С процедурой сохранения выявленных дел все просто и понятно. Давайте теперь посмотрим, <strong>как с помощью Outlook исключить простои и долговременные выходы из рабочего цикла? </strong></p><h2>Исключение простоев</h2><br/><p>Для этого нужно всего-то держать списки дел постоянно перед глазами!</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/24/img007.png/></p><p>В рабочее время человек должен находиться в цикле: <strong>задача - выполнение - задача</strong>.</p><p>Выход за пределы этого цикла начинается, когда, выполнив какую-либо задачу (или, чего хуже, не выполнив ее до конца), сотрудник отправляется прочесть новости, покурить или налить кофе.</p><p>Выход из рабочего цикла может затянуться на часы. Потому что просмотр одной новости потянет за собой еще несколько, откуда будет совершен переход на актуальные обсуждения в блогах. В это время выскочит окошко ICQcочередной бугагашечкой и работа замрет надолго.</p><p>Причина подобного - в иллюзии того, что нет массы дел, требующих выполнения. Очевидных, четких, понятных дел. В отсутствии четкой программы действий.</p><p>Значительно снизить вероятность выхода из рабочего цикла, вплоть до почти полного ее исключения, помогает постоянное присутствие списков дел в поле зрения. Это очень просто достигается. Достаточно иметь монитор с диагональю от 21 дюйма. Он позволяет поделить экран на 2 области. Одна содержит постоянно открытое окно Outlook, вторая - рабочая, в которой открыты исполнительные программы. </p><p>В таких условиях сотрудник находится в режиме <strong>задача - выполнение - задача</strong> естественным образом. Попробуйте сами и удивитесь, насколько этот простой способ поднимет вашу продуктивность. </p><p>Если подсчитать, сколько рабочего времени сотрудники (даже компетентные) тратят на простои и выходы-возвращения в рабочий цикл, можно легко получить до 20% от всего рабочего дня. К тому же, доказано, что главным утомляющим фактором в рабочее время является не сама работа, а именно ее рваный ритм! Которые требует постоянного переключения сознания.</p><p>Исключите его, и после рабочего дня вам больше не нужно заставлять себя идти в спортзал силой!</p><p>Итак, давайте подытожим, с помощью каких инструментом можно легко удвоить свою продуктивность.</p><ul><li>Накопитель. Он ограждает вас от вала информации и дает возможность со спокойной душой делать текущие дела.</li><li>Алгоритм анализа. Он позволяет выявить и устранить ненужные данные, а также - выявить необходимые действия и определить, когда их нужно совершить.</li><li>Списки дел. Они надежно сохраняют все упоминания о выявленных действиях. Они освобождают ваше сознание от непрофильной работы, направляя его силу на достижение главных целей. Они же избавляют вас от риска разорвать рабочий цикл и предохраняют от утомления, связанного с переключением внимания при возобновлении работы.</li></ul><p>Outlook упорядочивает списки дел, обеспечивая легкую работу с электронной почтой, календарем. Синхронизирует все данные с вашим мобильным устройством. Обеспечивая постоянную осведомленность о положении дел и высокий профессионализм при их выполнении.</p><p>То, о чем я написал - одна небольшая часть системы управления временем, которая легко повышает производительность людей в 5-6 раз. В статье я постарался в ней раскрыть ядро, вокруг которого эта система строится. </p><p>Если у вас возникли вопросы, напишите мне на <strong>nd@time4life.ru</strong> и я с удовольствием на них отвечу!</p><p>Николай Додонов.</p> http://www.microsoft.com/rus/business/smb/blog/24/ Microsoft for Business <h2>Введение</h2><br/><p>Сегодня бизнес просто не может существовать без интернета. Наличие Web сайта у компании стало не просто модной фишкой, а необходимостью для успешного ведения бизнеса. Компании теперь не только размещают на своих Web сайтах краткую информацию о своей деятельности, но и продают услуги. Поэтому, взлом сайта компании может нанести ощутимый урон репутации компании, не говоря уже о более серьезных последствиях, как, например, кража личных данных клиентов или коммерческих секретов. </p><p>Это первая статья из цикла статей, посвященных безопасности Web приложений. В этой статье мы опишем инфраструктуру Web приложения и выявим компоненты, которые могут подвергаться атакам.</p><h2>Инфраструктура Web сайта</h2><br/><p>Основная проблема обеспечения безопасности публичного Web сайта заключается в том, что не существует возможности ограничить доступ к нему для потенциальных злоумышленников. Современные требования к бизнесу делают Web приложение многофункциональным, что отрицательно сказывается на безопасности, т.к. чем сложнее приложение, тем больше вероятность наличия в нем ошибки, которая может превратиться в уязвимость. </p><p>Когда мы оцениваем риски, связанные с Web приложением, невозможно ограничиться лишь написанием качественного кода. Сама концепция Web приложений не позволяет им существовать в отдельности от вспомогательного программного обеспечения. Таким образом, современные web приложения - это уже не несколько сценариев и Web сервер, а целый комплекс ПО, предназначенный на корректную работу сайта. Давайте возьмем в качестве примера обычный сайт компании, на котором размещаются новости и статьи, пользователи могут оставлять свои комментарии. Для корректной работы такого сайта необходимо следующее программное обеспечение:</p><ol><li>Система управления содержанием (Web приложение) - для работы с контентом</li><li>Система управления базами данных (СУБД) - для хранения данных</li><li>Web сервер - для вывода контента в браузер пользователя</li><li>HTTP Прокси сервер - для уменьшения нагрузки на Web сервер</li><li>FTP/SFTP сервер - для удаленного доступа к файлам и сценариям Web приложения.</li><li>Почтовый сервер - для получения и отправки почтовых сообщений клиентам/пользователям/редакторам сайта</li></ol><p>Эти 6 компонентов визуально представлены на рис. 1</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/23/img002.jpg width=325 height=325/></p><p>Рис. 1 Инфраструктура Web приложения</p><p>Все эти службы могут физически размещаться на различных серверах или на одном сервере. Все они являются неотъемлемой частью Web сайта. В случае сбоя или компрометации одного из компонентов, Web сайт перестанет частично или полностью функционировать. Поэтому, безопасность Web сайта - это безопасность каждого его компонента. Как правило, в небольших компаниях обеспечение безопасности служб перекладывается на плечи хостинг провайдеров, а за безопасностью системы управления содержанием никто не следит... </p><p>Помимо вышеописанных компонентов есть еще множество слабых мест. Давайте посмотрим, как выглядит Web приложение глазами злоумышленника (рис. 2).</p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/23/img004.jpg/></p><p>Рис. 2 Web приложение глазами злоумышленника</p><p>На рис. 2 изображены все основные составляющие Web приложения: DNS сервер, который отвечает за корректную работу доменного имени Web сайта, маршрутизатор, который маршрутизирует трафик к сайту, коммутатор, в который включен сервер в стойке интернет-провайдера, доступ к сети Интернет и, собственно, пользователь сайта(редактор сайта, Web мастер и пр.). Каждый из этих компонентов может быть успешно атакован злоумышленником. В следующей таблице описаны самые характерные атаки для каждого компонента</p><table> <tbody><tr> <td><p>Компонент</p></td><td><p>Наиболее возможные последствия</p></td></tr><tr> <td><p>Web сайт (включая СУБД, Web сервер и остальные компоненты инфраструктуры)</p></td><td><p>Может содержать уязвимости различного характера, позволяющие вносить изменения в базу данных, читать файлы или выполнять системные команды. Получение доступа к важным данным</p><p>Полное или частичное искажение данных</p><p>Отказ в обслуживании</p><p>Компрометация сервера</p></td></tr><tr> <td><p>Коммутатор в стойке провайдера</p></td><td><p>Перенаправление трафика на один из серверов, включенных в коммутатор, перехват трафика. </p></td></tr><tr> <td><p>Маршрутизатор</p></td><td><p>Перенаправление трафика на другой сервер, перехват трафика, отключение сайта от сети Интернет</p></td></tr><tr> <td><p>DNS сервер</p></td><td><p>Подмена IP адреса сайта, перенаправление трафика на другой сервер, фишинг атаки</p></td></tr><tr> <td><p>Пользователь/редактор сайта</p></td><td><p>Используя средства социальной инженерии или путем компрометации рабочей станции пользователя, злоумышленник может получить доступ к данным пользователя и потенциально скомпрометировать Web сайт.</p></td></tr></tbody></table><br/><h2>Несколько примеров из жизни</h2><br/><p><em>13 марта 2008</em></p><p>Взломан сайт компании Trend Micro - производителя антивирусных решений. Злоумышленники воспользовались уязвимостью в коде Web приложения и распространяли вредоносное ПО через сайт антивирусной компании.</p><p><a href=http://www.computerworld.com/s/article/9068478/Trend_Micro_site_infected_users_with_Trojan target=_blank>http://www.computerworld.com/s/article/9068478/Trend_Micro_site_infected_users_with_Trojan</a></p><p><em>25 ноября 2010</em></p><p>Проведена успешная атака на DNS сервер компании Secunia (всемирно известная компания, предоставляющая консультационные услуги в сфере информационной безопасности). В результате трафик пользователей был перенаправлен на сервер, контролируемый злоумышленником. </p><p><a href=http://secunia.com/blog/153/ target=_blank>http://secunia.com/blog/153/</a></p><p><em>19 марта 2011</em></p><p>Неизвестные злоумышленники взлома сайт wiki.php.net. По предварительным данным, взлом был произведен через учетную запись одного из разработчиков проекта. Злоумышленники заполучили его логин/пароль, подключились к серверу, воспользовались эксплоитом для повышения привилегий, и получили полный контроль над сервером. В настоящий момент неизвестно, смогли ли злоумышленники внести изменения в исходный код PHP, т.к. расследование на момент написания статьи не закончено.</p><p><a href=http://www.securitylab.ru/news/405153.php target=_blank>http://www.securitylab.ru/news/405153.php</a></p><h2>Заключение</h2><br/><p>Как мы видим, современное ПО далеко от идеала по качеству кода, и сайт практически любой компании может быть взломан. Все что можно предпринять - максимально усложнить взлом путем внедрения различных механизмов, направленных на обеспечение безопасности. В следующих частях статьи я расскажу об этом более подробно.</p> http://www.microsoft.com/rus/business/smb/blog/23/ Microsoft for Business <h2>Введение</h2><br/><p>Из предыдущих статей данного цикла вы уже многое узнали о том, как следует правильно планировать инфраструктуру Active Directory в организации. По теме планирования логической структуры доменных служб уже было рассмотрено планирование внедрения служб Active Directory, где вы узнали об определении требований доменных служб в организации. Во второй статье текущего цикла я описал определение моделей лесов, которые вы можете применять на стадии проектирования структуры организации. В третьей статье данного цикла было рассказано о моделях доменов, а также о том, как определить необходимое количество доменов, которые будут развертываться в вашей организации. В следующей статье текущего цикла вы узнали о правильном размещении пяти ролей мастеров операций. Затем, в статье, связанной с планированием подразделений на предприятии, был рассмотрен процесс проектирования подразделений, согласно пяти известных моделей. Далее была рассмотрена концепция серверов глобального каталога, а также взаимодействие серверов глобального каталога с другими серверными технологиями корпорации Microsoft. В предпоследней статье данного цикла была описана процедура планирования инфраструктуры DNS для домена Active Directory, а именно были рассмотрены проектирование нового именного пространства, а также интеграция доменных служб с существующей инфраструктурой DNS. Последней статьей из цикла по планированию развертывания логической структуры доменных служб Active Directory будет текущая статья, из которой вы узнаете о планировании развертывания групповых политик. Так как большинство моих статей написаны непосредственно по функционалу групповых политик, эта тема для меня является самой интересной из всех этапов планирования логической структуры доменных служб Active Directory.</p><p>Как я уже не раз говорил в своих статьях, посвященных функционалу групповых политик, групповые политики предназначены для управления конфигурацией групп и пользователей вашей организации со структурой доменных служб Active Directory и все установленные вами параметры групповых политик располагаются в объектах групповой политики. Эти параметры групповой политики распространяются на ваших пользователей путем привязки объекта GPO к сайту, домену или подразделению, в котором находится учетная запись пользователя или компьютера. Также как и во всех случаях, которые рассматривались в предыдущих статьях этого цикла, процесс внедрения групповых политик состоит из пяти основных этапов: планирования, проектирования, развертывания, тестирования и обслуживания. К сожалению, при планировании внедрения групповых политик в организации не существует определенного набора правил, которыми следует руководствоваться для разработки стабильной структуры данного компонента, поэтому в данной статье будут рассмотрены общие рекомендации, которые следует принять во внимание на этапе внедрения групповых политик.</p><h2>Процесс планирования развертывания групповой политики</h2><br/><p>Перед тем как начать выполнять задачи стадии планирования внедрения групповой политики, вам стоит обратить свое внимание на несколько важных моментов. Прежде всего, как уже упоминалось в первой статье данного цикла, для соблюдения тщательного планирования и последующего тестирования вашей инфраструктуры доменных служб Active Directory в большинстве организаций, предоставляющих свои услуги по выполнению такого рода работ, желательно использовать соглашение об уровне обслуживания, которое является регламентирующим документом, определяющим ожидаемый уровень быстродействия, категории ожидаемой производительности, бюджет и начальную стоимость проекта. При помощи такого соглашения вы можете установить некоторые стандарты, предназначенные для службы реагирования, например, максимальный период времени, требуемый для загрузки операционной системы и выполнения пользователем входа, позиционирование контроллеров домена в самом домене, размещение администраторов групповой политики и многое другое. Помимо этого стоит обратить свое внимание на тот момент, что при реализации каждого индивидуального случая внедрения групповой политики, сами цели объекта GPO могут существенно изменяться в зависимости от компетентности пользователей, корпоративных требований безопасности, местоположения самого пользователя, а также от многих других факторов и форс-мажорных обстоятельств. Самое главное, что от вас требуется на данном этапе - полностью удостовериться в том, что разработанная вами структура групповой политики, которая отчасти основывается на продуманной вами ранее структуре подразделений Active Directory существенно упростит как управление самой групповой политикой, так и управление компьютерами и пользователями организации, в которой внедряется данное решение. На этом этапе лучше всего еще раз убедиться, что подразделения спланированы так, чтобы групповые политики могли распространяться на все ваши отделы наиболее рациональным образом. Стоит всегда помнить о том, что непосредственно на уровне домена развертывается минимальное количество параметров групповой политики, а на уровне сайта параметры политики практически не задаются во всех случаях. Если вы изначально халатно отнеслись к планированию подразделений в своей организации, то в будущем у вас могут дублироваться объекты групповых политик, что повлечет за собой значительные задержки в производительности, а то и более существенные проблемы. При планировании структуры подразделений нужно группировать объекты, для которых будут применяться одни и те же параметры групповой политики. Так как все параметры групповой политики наследуются от родительских подразделений, чаще всего самые низкие уровни подразделений предназначаются исключительно для применения объектов GPO. Общепринятым методом создания подразделений в организации считается разделение подразделений с учетными записями пользователей и учетными записями компьютеров. Это делается с той целью, чтобы можно было разделять объекты GPO, которые будут распространяться только на пользователей определенного отдела или на все компьютеры в конкретном здании одновременно. Если компьютеры и пользователи вашей организации разбросаны по нескольким зданиям или даже городам, то, возможно, во избежание создания множества сайтов, что повлечет за собой репликацию и соответственно проблемы с пропускной способности сети, вам придется распределять все подразделения по так называемому географическому принципу, включая дочерние подразделения. Вы можете задаться следующим вопросом: что же плохого в том, что у вас будет несколько сайтов? Ответ достаточно простой: если во время процесса обновления групповой политики скорость сетевого подключения между клиентским компьютером и контроллером домена, размещенного в другом сайте упадет ниже порогового значения, то на клиентский компьютер будут применены только лишь административные шаблоны, политики безопасности и политики беспроводных подключений, а такие политики, как политика установки программного обеспечения будут игнорироваться. Всегда стоит учитывать то, что основной задачей проектирования инфраструктуры доменных служб Active Directory особо значимой задачей является обеспечение простоты администрирования и делегирования. Пример структуры подразделений в организации отображен на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/110313085749/plan-gpo-02.JPG target=_blank><img src=http://oszone.net/figs/u/72715/110313085749/plan-gpo-02_mini_oszone.JPG alt=* width=480 height=303/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Структура подразделений, предназначенных для развертывания групповых политик</strong></p><p>Помимо структуры подразделений вам всегда следует помнить об обеспечении безопасности, так как вопрос безопасности для любой организации можно отнести к самым актуальным задачам на сегодняшний день. В этот момент вам следует продумать, как будут изменяться настройки брандмауэра Windows в режиме повышенной безопасности на клиентских компьютерах, будут ли шифроваться диски ваших мобильных пользователей при помощи технологии BitLocker, будет ли использоваться функционал защиты доступа сети и многое другое.</p><p>Если вы имеете четкое представление о среде организации, в которой планируете внедрять групповые политики, в таком случае можно начинать разрабатывать сам план, который будет наиболее полным образом соответствовать всем требованиям организации. На этапе планирования следует обратить свое внимание на определение области применения групповой политики и определение параметров политики, применяемых ко всем пользователям, что подробно описано в следующих подразделах.</p><h2>Определение области применения групповой политики и количества объектов GPO</h2><br/><p>Уже не раз было указано, что конфигурация, применяемая к пользователям и их компьютерам, определяется в объектах GPO, причем, изменения в конфигурации GPO не влияют на компьютеры или пользователей, если к ним не применяется сам объект групповой политики. Такая концепция называется областью действия объекта групповой политики, иными словами, это коллекция пользователей или компьютеров к которым будут применяться параметры объекта GPO. Методов применения области действия групповой политики не много. Основным методом считается <strong>связывание объектов групповой политики</strong> с сайтами, доменами или подразделениями, после чего этот сайт, домен или подразделение будут определять пределы области действия объекта GPO. Соответственно, параметры групповой политики будут распространяться еще и на всех пользователей и компьютеры, расположенные в дочерних подразделениях. Помимо связывания объектов групповой политики, вы можете ограничивать область действия объектов GPO при помощи <strong>фильтров безопасности</strong>, определяющих глобальные группы безопасности, на которые будут распространяться или не распространяться объекты групповой политики. При указании фильтров групп безопасности, определяется, будет ли применяться объект групповой политики к группам, пользователям или компьютерам целиком. Еще для указания области действия объектов групповой политики важным методом является <strong>фильтрация инструментария управления Windows</strong>, которая позволяет указать область действия при помощи таких характеристик операционной системы, как номер версии, конфигурация оборудования и прочее.</p><p>Вам не стоит забывать и о том, что объекты групповой политики применяются к компьютерам и пользователям, в зависимости от их приоритетов. Другими словами, если на вашего клиента распространяются три объекта групповой политики, где определенный параметр включен в одном объекте GPO, отключен во втором и не задан в третьем, то применение данного параметра к конечному клиенту, определяется при помощи приоритетов. Таким образом, объект с более высоким приоритетом будет преобладать над остальными объектами GPO. Если обратить внимание на расположение объектов в оснастке <strong>Управление групповой политикой</strong>, то приоритеты объектов групповой политики указываются в виде номера, причем, чем меньше его значение, тем выше приоритет объекта GPO. Всегда нужно помнить, что по умолчанию порядок обработки объектов групповых политик следующий: локальные групповые политики, политики сайта, домена, подразделения. Соответственно, объект групповой политики, расположенный в ближайшем к компьютеру или пользователю подразделении, выполняется в последнюю очередь и считается наиболее приоритетным. Результат такого последовательного применения объектов групповой политики называется<strong>наследованием политики</strong>. Если в одном подразделении расположено множество объектов групповой политики, то их приоритет определяется при помощи порядка ссылок, где объект с наименьшим значением порядка ссылки в оснастке <strong>Управление групповой политики</strong> обладает более высоким приоритетом.</p><p>Если же вам нужно для конкретного подразделения запретить наследование параметров политики, то вы можете воспользоваться возможностью <strong>блокирования наследования</strong>. Блокирование наследования считается свойством домена или подразделения и позволяет заблокировать абсолютно все параметры групповой политики из объектов GPO, которые связаны с родительскими объектами в иерархии групповой политики. Данное свойство рекомендуется использовать только в самых крайних случаях, поскольку оно существенно ухудшает оценку приоритетов. Также в функционале групповой политики есть зеркальное свойство по отношению к блокированию наследования, которое называется <strong>принудительным включением связи GPO</strong>. Данная возможность позволяет назначить определенному объекту GPO наивысший приоритет по отношению ко всем остальным объектам групповой политики, причем, принудительная связь будет применяться ко всем дочерним подразделениям даже в том случае, если для них применяется блокирование наследования.</p><p>Важным этапом планирования считается определение количества объектов групповой политики, распространяемых на клиентские компьютеры и пользователей вашей организации. В этот момент необходимо иметь четкое представление обо всех подразделениях в вашей организации, так как если в доменной среде вашей организации несколько лесов или доменов, то, вполне очевидно, что для каждого домена будет разное количество объектов GPO и чем сложнее построена бизнес-среда домена, тем большее количество объектов GPO будет в таком домене распространяться. Важно обращать внимание на то, что работа администраторов групповой политики прямо пропорциональна количеству поддерживаемых в вашей инфраструктуре объектов GPO. Другими словами, чем больше вы внедрите объектов групповой политики, тем существеннее возрастёт объем работ этого персонала. Поэтому, если возможно каким-то образом сгруппировать несколько объектов GPO, которые будут применяться к одному и тому же набору пользователей или компьютеров в один, не упускайте такую возможность, так как это значительно упростит вам обслуживание GPO в ближайшем будущем. Другими словами, старайтесь назначать максимальное количество настроек родительским подразделениям, а исключения из таких ситуаций при добавлении параметров политики в дочерние подразделения лучше сразу документировать. На одного пользователя или компьютер может распространяться одновременно не более 999 объектов групповой политики, но если на такого пользователя будет распространяться даже 100 объектов GPO, проследить за всеми настройками, применяемыми для этого пользователя, будет очень сложно. Последнее, что, по моему мнению, нужно помнить на этом этапе планирования - это то, что количество объектов групповой политики, которое применяется к объекту пользователя или компьютера, существенно влияет на время запуска и входа в сеть и чем большее количество объектов GPO связано с пользователем или компьютером, тем больше времени потребуется на их обработку для окончания выполнения входа в систему.</p><h2>Определение параметров политики, применяемых ко всем пользователям</h2><br/><p>Несмотря на параметры групповой политики, которые должны применяться непосредственно на определенное подразделение, вам следует определить параметры политики, принудительно распространяемые на всех пользователей или компьютеры организации. К таким параметрам можно отнести политики паролей и блокировки учетных записей пользователей. Такие параметры следует связывать с соответствующими подразделениями в Active Directory, например, подразделением, содержащим всю иерархию учетных записей пользователей. Соответственно, вам нужно четко понимать всю структуру ваших приоритетов объектов GPO, то есть учесть все принудительные связи и блокировку наследования для того, чтобы у вас не возникало проблем при устранении неполадок, которые могут быть у пользователей из-за того, что определенные параметры применяются не там, где нужно или не применяются вообще. Возможно, некоторые параметры следует даже привязывать не к родительским подразделениям, а непосредственно к самому домену. Обязательно обратите на это внимание и хорошо продумайте всю структуру GPO. Компьютеры и сервера вашей организации лучше всего группировать в подразделения с расчетом того, что сотрудники, которые будут за ними работать должны выполнять схожие должностные обязательства, а на серверах развертываются смежные роли. Перед тем как запускать все развернутые вами объекты GPO в производственную сеть их нужно тщательно протестировать. Тестировать их вы можете как в лабораторной среде, так и, попросив нескольких сотрудников из различных отделов посмотреть какие параметры политики применяются, проследить за задержкой перед выполнением входа в систему. Помимо среды тестирования также можно отметить и промежуточную среду, так называемая среда предварительной обработки, которая наиболее приближенная к рабочей среде. В большинстве случаев тестовая и промежуточная среды ничем не отличаются и применяются совместно. Но, тем не менее, так как параметры групповой политики изменяют параметры системного реестра, многие параметры безопасности, а также предназначены для развертывания программного обеспечения, желательно при создании промежуточной среды наиболее четко определить имеющееся оборудование, которое можно использовать для создания архитектуры, аналогичной рабочей среде. О создании промежуточной среды мы еще подробно поговорим в одной из следующих статей по функционалу групповой политики. После того как все тесты будут успешно пройдены и вы будете более чем уверены, что при развертывании в производственной среде не произойдет каких-либо инцидентов, вам следует воспользоваться средствами оснастки управления групповыми политиками и выполнить последнюю миграцию измененных или новых параметров групповой политики в рабочую среду.</p><p>После того как вы полностью спланировали инфраструктуру групповой политики, внедрили все параметры GPO в рабочую среду, вам следует разработать расписание резервирования всех настроек объектов GPO для того, чтобы можно было использовать их для восстановления отдельных объектов групповой политики в свое первоначальное состояние.</p> http://www.microsoft.com/rus/business/smb/blog/22/ Microsoft for Business <h2>Глава 2</h2><br/><p>Общие рекомендации по улучшению состояния безопасности</p><p>Теперь, когда мы знаем, чего следует опасаться, мы может определиться с тем, как защищать свой бизнес.</p><p>Рекомендации по защите от атак общей направленности</p><h2>Защита ОС</h2><br/><p>1. Не зависимо от используемых операционных систем, на всех системах должны быть установленные все исправления безопасности.</p><p>2. Не позволяйте сотрудникам компании работать с административными привилегиями на системе. Чем выше привилегии у пользователя ОС, тем больше вероятность проникновения вредоносного ПО на систему.</p><p>3. Всегда используйте логин/пароль для локального входа в систему.</p><p>4. Всегда используйте брендмауэр (встроенный или стороннего производителя).</p><p>5. Для защиты от обычных вредоносных приложений используйте антивирус известного вам производителя. Не рекомендуется скачивать и устанавливать антивирусы неизвестных вам компаний. Для защиты от вирусов подойдет как платное, так и бесплатное антивирусное решение. У Microsoft также есть свой антивирус - Microsoft Security Essentials (http://www.microsoft.com/security_essentials/), который бесплатно доступен для SMB компаний. Также могу порекомендовать продукты от Лаборатории Касперского, Symantec, Trend Micro, Panda Software, Eset.</p><p>6. Не предоставляйте пользователям доступ к документам, службам, которые им не требуются.</p><h2>Защита паролей</h2><br/><p>1. Не используйте один и тот же логин/пароль для доступа к различным ресурсам.</p><p>2. Для хранения паролей пользуйтесь менеджерами паролей - приложениями, которые умеют безопасно сохранять пароли для доступа к различным ресурсам.</p><p>3. Не храните пароли в браузерах! Современные браузеры не обеспечивают надежную защиту учетных данных. Потому используйте специализированные менеджеры паролей для хранения этой информации.</p><h2>Защита приложений</h2><br/><p>1. Всегда устанавливайте исправления безопасности. Большинство производителей программного обеспечения внедрили в свои продукты функционал автоматического обновления. Не забывайте устанавливать исправления.</p><p>2. Для проверки наличия уязвимостей в программном обеспечении можно воспользоваться Secunia PSI (<a href=http://secunia.com/vulnerability_scanning/personal target=_blank>http://secunia.com/vulnerability_scanning/personal/</a>) или Secunia OSI (<a href=http://secunia.com/vulnerability_scanning/online target=_blank>http://secunia.com/vulnerability_scanning/online</a>/).</p><p>3. Чтобы оценить реальное состояние безопасности компьютеров от угроз, распространяемых через Web сайты, можно воспользоваться следующими online ресурсами:</p><p><a href=http://surfpatrol.ru/ target=_blank>http://surfpatrol.ru/</a></p><p><a href=http://www.mozilla.com/en-US/plugincheck/ target=_blank>http://www.mozilla.com/en-US/plugincheck/</a></p><p><a href=http://www.security-help.com/browser-security/ target=_blank>http://www.security-help.com/browser-security/</a></p><p>Эти сайты позволяют обнаружить уязвимые компоненты на ваших системах и дать рекомендации по устранению уязвимостей. Проверка осуществляется путем анализа информации, отправляемой браузером.</p><p>4. Изолируйте важные приложения</p><p>Во всех современных операционных системах есть возможность запускать приложения от имени другого пользователя. Если по какой-то причине вы работаете на системе с привилегиями администратора или опытного пользователя, не обязательно запускать все приложения с этими привилегиями. Вы можете запускать, например, браузер с привилегиями гостевой учетной записи.</p><p>Для доступа к банковским счетам или платежным online системам я рекомендую использовать отдельные компьютеры или виртуальную ОС с ограниченным доступом к сети на рабочем месте и к сети Интернет. Компания Microsoft выпустила Windows Virtual PC - это приложение, которое позволяет запустить внутри себя любую операционную систему, работая в основной ОС. Из этой системы вы можете, например, осуществлять платежи, управлять счетами. После окончания работы с банковским приложением, вы останавливаете работу Virtual PC. Если на основной системе присутствуют вредоносные приложения, они не смогут получить доступ к виртуальной системе и похитить потенциально важные данные. Кроме того, многие вредоносные приложения преднамеренно не запускаются в виртуальной среде. Это объясняется тем, что виртуальные системы используются аналитиками антивирусных компаний для изучения поведения вредоносного ПО. С точки зрения обеспечения безопасности личных данных, этот недостаток можно использовать в своих полезных целях.</p><h2>Защита информации</h2><br/><p>1. Не следует пользоваться бесплатными почтовыми сервисами (mail.ru, yandex.ru,gmail.com и пр.) для обмена электронными сообщениями, содержащими конфиденциальные данные.</p><p>2. Не следует использоваться социальные сети для хранения коммерческих данных.</p><p>3. Не следует пересылать конфиденциальные данные по ICQ, Jabber и др. Например, QIP хранит всю историю переписок свои пользователей у себя на серверах. В случае компрометации ресурса, потенциально важные данные могут оказаться у ваших конкурентов.</p><p>4. Не используйте общедоступные сети/Интернет кафе для доступа к корпоративным ресурсам.</p><p>5. Если компания использует беспроводную сеть, доступ к ней должен быть защищен паролем.</p><p>6. Если сотрудники компании пользуются ноутбуками, на которых содержится важная для компании информация, и выносят их за пределы офиса, необходимо шифровать данные, чтобы в случае кражи ноутбука, злоумышленники не могли получить доступ к этой информации. Одним из приложений, предназначенных для этих целей, является PGP Desktop (<a href=http://www.pgp.com/products/packages/desktop_pro target=_blank>http://www.pgp.com/products/packages/desktop_pro/</a>).</p><p>7. Необходимо постоянно напоминать сотрудникам компании, какая информация является конфиденциальной и какую информацию не следует распространять.</p><p>Также у Microsoft есть комплексное решение по защите от угроз, ориентированное на небольшие компании - Microsoft Forefront Security Suite (<a href=http://www.microsoft.com/business/smb/en-hk/servers-and-tools/forefront-security.mspx target=_blank>http://www.microsoft.com/business/smb/en-hk/servers-and-tools/forefront-security.mspx</a>).</p><h2>Рекомендации по защите от целенаправленных атак</h2><br/><p>После выполнения всех рекомендаций по защите от атак общей направленности, можно приступить к защите от целенаправленных атак. Следует понимать, что от подобных атак полностью защититься невозможно. Существует возможность лишь максимально увеличить расходы атакующего на проведение самой атаки и тем самым сделать эту атаку нерентабельной. Никто не будет тратить десятки тысяч долларов для того, чтобы получить информацию, которая этих денег не стоит.</p><h2>Утечка данных</h2><br/><p>Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании. Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention) системы.</p><p>Ниже приведена обзорная таблица подобных решений от разных производителей.</p><div> <table> <tbody> <tr> <td> <p>Приложение</p></td><td> <p>Производитель</p></td><td> <p>Стоимость</p></td><td> <p>Примечание</p></td></tr><tr> <td> <p>McAfee Host DLP</p></td><td> <p>McAfee</p></td><td> <p>5400$</p></td><td> <p>стоимость 100 рабочих мест без интеграции</p></td></tr><tr> <td> <p>Trend Micro DLP for Endpoint</p></td><td> <p>Trend Micro</p></td><td> <p>4700$</p></td><td> <p>стоимость 100 рабочих мест без интеграции</p></td></tr><tr> <td> <p>Symantec DLP</p></td><td> <p>Symantec</p></td><td> <p>от 25000$</p></td><td><br/></td></tr><tr> <td> <p>Дозор-Джет</p></td><td><br/></td><td> <p>от 25$/почтовый ящик</p></td><td><br/></td></tr><tr> <td> <p>Check Point DLP</p></td><td> <p>Check Point</p></td><td> <p>от $3000</p></td><td> <p>встраиваемое лезвие в устройстваCheck Point</p></td></tr><tr> <td> <p>SearchInform</p></td><td> <p>SearchInform</p></td><td> <p>от 13000$</p></td><td> <p>Стоимость для 100 хостов</p></td></tr></tbody></table></div><p>В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку данных.</p><p>В качестве обязательного превентивного средства является подписание соглашения о неразглашении конфиденциальной информации с сотрудниками компании.</p><h2>Разграничение доступа</h2><br/><p>Корректное разграничение доступа пользователей к информационным ресурсам позволяют минимизировать потенциальный урон от атаки.</p><h2>Защита периметра сети</h2><br/><p>Кроме стандартного набора антивируса и брендмауэра на каждой рабочей станции в сети должна присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Наличие подобной системы при условии ее корректного внедрения, позволит минимизировать риски, связанные с хакерскими атаками и усложнить процесс взлома.</p><p>Резюмируя вышеизложенное, я бы хотел озвучить 2 самых главных правила информационной безопасности:</p><p>1. Любую атаку можно отразить</p><p>2. Любую защиту можно обойти</p><p>Это две диаметрально противоположные аксиомы, которыми в настоящий момент руководствуется индустрия информационной безопасности. Атака целесообразна тогда, когда злоумышленнику будет выгодно потратить определенные средства на достижение своей цели. Чем выше стоимость взлома - тем ниже вероятность его успеха.</p><h2>Заключение</h2><br/><p>В этой статье была сделана попытка кратко изложить суть проблемы информационной безопасности и дать общие рекомендации по защите от угроз ИБ.</p> http://www.microsoft.com/rus/business/smb/blog/21/ Microsoft for Business <h2>Глава 1</h2><br/><h2>Введение</h2><br/><p>Взлом, кибервойны, хакеры, вирусы, черви, троянские кони и еще много страшных слов... Мы все их слышим почти каждый день от наших коллег/друзей, читаем о них на новостных сайтах, смотрим репортажи по телевиденью. Для решения проблем с компьютерами мы зовем человека, именуемого компьютерщиком, который за скромные деньги может установить суперзащиту (как правило, это обычный антивирус) или переустановить операционную систему, если совсем ничего не помогает. Такова суровая действительность многих представителей малого бизнеса.</p><p>Цель этой статьи - рассказать руководителям компаний, что представляет собой информационная безопасность, зачем и как именно следует защищать компьютеры в ваших компаниях.</p><p>Что такое Информационная безопасность?</p><p>Информационная безопасность - это состояние информационных систем, полученное вследствие выполненных работ, направленных на обеспечение безопасности вашего бизнеса. Это состояние продолжается до того момента, пока ваши системы не будут скомпрометированы.</p><p>Следует понимать, что не существует такого понятия, как абсолютная безопасность, так как любые средства защиты можно обойти тем или иным способом.</p><p>Зачем нужна безопасность?</p><p>Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же компьютерщика для установки бесплатного антивируса или переустановки операционной системы.</p><p>Но если ваши сотрудники используют компьютеры для доступа к платежным online системам/системам управления банковским счетом, хранения базы ваших клиентов и другой ценной информации, злоумышленник может потенциально похитить важные данные и воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее потратить определенные средства на обеспечение безопасности, чтобы максимально защититься от злоумышленника и не дать ему возможность получить контроль над вашими счетами и своровать у вас деньги/информацию.</p><p>Угрозы для бизнеса</p><p>Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя представить себе, что может произойти, если злоумышленник получит полный доступ ко всем компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало страшно, тогда читаем дальше.</p><p>Согласно исследованию (http://www.securitylab.ru/analytics/368176.php) компании Perimetrix, специализирующейся на расследованиях инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были:</p><ul><li>Утечка данных</li><li>Халатность служащих</li><li>Вирусы</li><li>Хакеры</li><li>Кража оборудования</li><li>Спам</li><li>Аппаратные и программные сбои</li><li>Саботаж</li></ul><p>Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют.</p><h2>Источники угроз</h2><br/><p>Условно все источники угроз можно разделить на следующие типы: атаки общей направленности и целенаправленные атаки.</p><h2>Атаки общей направленности</h2><br/><p>Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным автоматизированным атакам. Цель этих атак - получить максимальный доступ к компьютерам компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет, социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть - это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками. Зараженные системы могут использоваться для проведения атак на другие компании, рассылки спама и прочего.</p><p>Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье.</p><p>Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны, накопители информации, документы и прочее.</p><p>Список основных угроз ИБ, которым ежедневно может подвергаться компания:</p><p>1. Вредоносное ПО <br/>Это самая распространенная угроза. Вредоносные приложения проникают на компьютеры компании, используя существующие бреши безопасности в используемом программном обеспечении или используя недостаточную осведомленность сотрудников компании, которые устанавливают вредоносное ПО самостоятельно. <br/>Основные источники проникновения вредоносного ПО на компьютеры: </p><p>a. Web сайты <br/>Многие пользователи считают, что вредоносное ПО может распространяться только через сайты порнографической направленности и другие сомнительные ресурсы. Это не так. Источником заражения компьютера может стать любой Web сайт. В последние годы злоумышленники используют уязвимости на вполне легитимных сайтах для распространения вредоносного ПО. В качестве примера можно привести инциденты, связанные с взломом сайта антивирусной компании Trend Micro, взломом сайта проекта Microsoft DreamSpark (http://www.securitylab.ru/news/387817.php). <br/>Использование браузера, отличного от Internet Explorer на компьютерах компании не повысит уровень защищенности от этой угрозы, т.к. большинство атак нацелены не на уязвимости в браузерах, а на уязвимости в используемых браузерами компонентах. Например, Java, Adobe Flash Player, Adobe Reader, различные мультимедийные плееры, которые устанавливают на систему плагины для отображения видео непосредственно в браузере. </p><p>b. Flash накопители, сетевые папки <br/>Огромное количество вредоносного ПО распространяется через внешние накопители. Как правило, эти приложения используют функционал автозапуска и начинают свое проникновение на систему, как только пользователь откроет Flash накопитель у себя на компьютере. Точно таким же образом вредоносное ПО может попасть на компьютер через общедоступные сетевые папки. </p><p>c. Уязвимости операционных систем, сетевых приложений <br/>Существует множество сетевых червей, которые используют уязвимости сетевых компонентов операционных систем для проникновения на системы пользователей. Для того, чтобы вредоносное ПО проникло на компьютер достаточно просто подключить этот компьютер к общедоступной сети. </p><p>d. Социальная инженерия <br/>Рассылка писем, сообщений по ICQ и в социальных сетях, ссылки на сайтах, призывающие установить то или другое ПО, просмотреть видеоролик, для которого необходимо установить специальный проигрыватель - все это способы обманом заставить пользователя посетить потенциально опасный сайт или скачать и установить вредоносное ПО. </p><p>e. Email рассылки вредоносного ПО <br/>Этот тип угроз уходит в прошлое, в настоящий момент очень редко email письма используются для распространения вредоносного кода, т.к. большинство почтовых серверов оснащены фильтрами, блокирующими исполняемые файлы, да и почтовые приложения уже давно и успешно помогают пользователям справляться с подобной угрозой. Тем не менее, необходимо понимать, что файлы, отправленные неизвестным отправителем, являются опасными и их не следует запускать на системе. </p><p>2. Спам <br/>Сложно представить пользователей, которые никогда не получали по электронной почте рекламных сообщений. Подобные сообщения называются спамом. Большое количество таких сообщений мешает сотрудникам компании качественно выполнять свою работу. </p><p>3. Фишинг атаки <br/>Это атаки с использованием элементов социальной инженерии, с помощью которых злоумышленники могут заполучить доступ к банковским счетам жертвы, к паролям для доступа к почтовым учетным записям, социальным сетям и пр. Например, пользователю приходит письмо с уведомлением о том, что его счет в Webmoney был заблокирован и, чтобы разблокировать его, необходимо посетить ссылку в письме и изменить свои логин и пароль. Ссылка заведомо указывает на сайт, контролируемый атакующим, который может выглядеть в точности как настоящий сайт. После того, как пользователь вводит свои старые учетные данные, программное обеспечение может автоматически воспользоваться имя для получения доступа к кошелькам, и, например, осуществить денежные транзакции. </p><p>Целенаправленные атаки</p><p>Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В большинстве случаев целью подобных атак является доступ к данным и частичное или полное нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник владеет некоторой информацией о компании, которая может увеличить вероятность успешного взлома.</p><p>Существенную угрозу для безопасности бизнеса представляют также недобросовестные сотрудники. Согласно отчету E-Crime за 2007 год (<a href=https://mail-serv.adwatch.ru/owa/redir.aspx?C=059bacb6edd141afad8a4a40d9f300e7&amp;URL=http%3a%2f%2fwww.cert.org%2farchive%2fpdf%2fecrimesummary07.pdf target=_blank>http://www.cert.org/archive/pdf/ecrimesummary07.pdf</a>) 37% успешных атак было осуществлено сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год (<a href=https://mail-serv.adwatch.ru/owa/redir.aspx?C=059bacb6edd141afad8a4a40d9f300e7&amp;URL=http%3a%2f%2fwww.e-crimecongress.org%2fecrime2009%2fdocuments%2fe-CrimeSurvey2009_AKJ_KPMG%281%29.pdf%29 target=_blank>http://www.e-crimecongress.org/ecrime2009/documents/e-CrimeSurvey2009_AKJ_KPMG(1).pdf)</a> 64% компаний опасались кражи важных данных инсайдерами или бывшими сотрудниками.</p><p>Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix (<a href=http://www.securitylab.ru/analytics/368176.php target=_blank>http://www.securitylab.ru/analytics/368176.php</a>):</p><ul><li>Утечка данных - 55%</li><li>Искажение информации (включая несанкционированные бухгалтерские операции) - 54%</li><li>Кража оборудования - 25%</li><li>Саботаж - 21%</li><li>Утрата информации - 19%</li><li>Сбои в работе компьютерных систем - 12%</li></ul> http://www.microsoft.com/rus/business/smb/blog/20/ Microsoft for Business <p>Создание документов по шаблону с помощью типов контента в Sharepoint 2010. Создадим собственный тип контента, после шаблон Word 2010. И в конце создадим событие создания автоматического создания документа по заданному шаблону</p> http://www.microsoft.com/rus/business/smb/blog/19/ Microsoft for Business <p>В этой статье я попытаюсь дать краткий обзор возможностей нового продукта - Microsoft Hyper-V Server R2, и рассказать, что это за зверь и с чем его едят. Как известно, множество ИТ-специалистов по возможности старается придерживаться традиционной идеологии: на каждый сервис выделять отдельный сервер: отдельно - DNS, отдельно - контроллер домена, отдельно - интернет-шлюз. С одной стороны - это правильно: каждый сервер работает независимо, и маловероятно, что падение одного приведет к падению всех остальных, в отличие от хранения всех яиц в одной корзине. Но, в то же время выделять под каждую задачу отдельный сервер - не всегда целесообразно.</p><p>К примеру - контроллер домена AD и интернет-шлюз все Best Practice настоятельно рекомендуют размещать на разных серверах. Это в принципе логично: например, при хакерской атаке первым подвергается нападению именно интернет-шлюз. При успешной атаке, если на том же сервере будет размещен и контроллер домена - в руки хакерам может попасть и база данных AD, содержащая имена пользователей, хеши паролей, e-mail-адреса и прочие конфиденциальные данные. По той же причине, к примеру, файл-сервер с коммерческой информацией тоже нужно выносить на отдельный сервер. Но тут становится другая проблема: каждая из этих задач сама по себе, за редким исключением, требует совсем немного аппаратных ресурсов для своей работы, процентов 15-20 в крайнем случае. А вот каждый сервер стоит денег, и не малых. А платят-то за все 100% мощности каждого сервера. Получается настоящее расточительство. Помните анекдот про нового русского, который каждую неделю покупал себе новый Мерседес - из-за того, что у старого забивалась пепельница? Ну а серверов при этом в итоге становится так много, что серверная будет достойна раздела Ужасы на nag.ru. А админить их все будет так легко и удобно, что поговорка Если админ в 9 утра на работе - значит он там ночевал обретет реальный смысл.</p><p>Что же делать? Последнее время в IT стало очень модным слово виртуализация. В принципе, ничего особенного в ней нет, этому термину 100 лет в обед исполнится.</p><p>Тем не менее, виртуализация позволит:</p><p>• Рациональнее использовать аппаратные ресурсы серверов<br/>• Экономить место в стойке и в серверной в целом<br/>• Экономить электроэнергию<br/>• Значительно повысить удобство администрирования<br/>• Повысить надежность засчет кластеризации хостов и более легкого резервного копирования и восстановления виртуальных машин. </p><p>В принципе - что есть виртуализация, и для чего она нужна - вы можете прочитать в предыдущей моей статье, <a href=http://itband.ru/2009/03/%d0%b7%d0%b0%d1%87%d0%b5%d0%bc-%d0%b6%d0%b5-%d0%bd%d1%83%d0%b6%d0%bd%d0%b0-%d0%b2%d0%b8%d1%80%d1%82%d1%83%d0%b0%d0%bb%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f/ target=_blank>Для чего нужна виртуализация?.</a><br/>Вернемся от космических кораблей, бороздящих просторы Большого Театра, к нашим баранам - то есть, к продукту Hyper-V Server R2. </p><p>Что же это такое?</p><p><strong>Hyper-V Server</strong> - это stand-alone-платформа для виртуализации серверов от Microsoft. Наиболее близкий аналог - VMWare ESX Server. Hyper-V Server основан на операционной системе MS Windows Server 2008, Hyper-V Server R2 - соответственно, на базе Windows Server 2008 R2. Hyper-V Server R2, как и Windows Server 2008 R2 пока находится в состоянии Release Candidate. Фактически, он представляет собой максимально урезанную версию WS2008 - режим Server Core, из ролей - только Hyper-V.</p><p>Hyper-V Server - абсолютно бесплатен, не требует никаких лицензий. Тем не менее, в полноценные версии Windows Server 2008 входит определенное количество бесплатных лицензий на гостевые ОС (1 - в Standard, до 4 - в Enterprise, и не ограничено в пределах 1 CPU - в Datacenter). Как уже было сказано, распространяется Hyper-V Server бесплатно. Можно скачать с сайта Microsoft.com как предыдущую версию Hyper-V Server, так и Release Candidate Hyper-V Server R2.</p><p>Основные возможности Hyper-V Server R2 и различия с предыдущей версией Hyper-V Server и виртуализацией на базе полноценного на базе Windows Server 2008 приведены в таблице:</p><p><a href=http://itband.ru/wp-content/uploads/2009/06/tabl1.jpg><img src=http://itband.ru/wp-content/uploads/2009/06/tabl-thumb1.jpg alt=tabl width=611 height=377/></a></p><p>Как известно, для работы гипервизора Hyper-V необходим 64-битный процессор с поддержкой технологий аппаратной виртуализации (Intel VT или AMD-V) и аппаратной DEP (NX-bit). На иных типах процессоров Hyper-V работать не будет. По своим возможностям, в отличие от предыдущей версии, Hyper-V Server 2008 R2 приблизился к Enterprise-версии Windows Server 2008: поддержка до 8 процессоров, до 1TB оперативной памяти, поддерживает кластеризацию и технологии Live/Quick Migration. Кстати, в отличие от VMWare ESXi, использование всех этих фич не требует покупки лицензий. У VMWare же лицензия требуется на каждый чих, что мне не очень нравится (хотя, возможно, нравится сейлам).</p><p>Системные требования у Hyper-V Server - вполне божеские. Во-первых, как я уже говорил - 64-битный CPU с аппаратной поддержкой виртуализации и DEP. Минимально - тактовая частота 1.4GHz, 1GB RAM, 4.8GB свободного дискового пространства. Рекомендуется - 2 и более GHz, 2 и более GB RAM. В настоящее время найти в продаже сервер, не удовлетворяющий этим требованиям - весьма непросто, разве что б/у. Вообще же, не рекомендую смотреть на минимальные и рекомендованные требования, а прикинуть, сколько будет запущено на сервере виртуальных машин, сколько каждой из них потребуется процессорного времени, памяти, места на диске - и уже из этих данных прикидывать необходимую конфигурацию.</p><p>Процесс инсталляции Hyper-V Server R2 достаточно прост, как, в принципе, и инсталляция самого Windows Server 2008. Необходимо скачать ISO-образ, прожечь его на DVD-болванку и загрузить с нее сервер.<br/>После загрузки надо выбрать язык (русского языка нет, во всяком случае в RC), выбрать раздел диска, на который будет идти установка, и, собственно, запустить сам процесс инсталляции. </p><p><a href=http://itband.ru/wp-content/uploads/2009/06/image3.png><img src=http://itband.ru/wp-content/uploads/2009/06/image-thumb3.png alt=image width=423 height=314/></a></p><p>Как я уже говорил, устанавливается продукт в режиме Server Core. Это значит, как утверждают разработчики, что управление ведется только через командную строку (на радость бородатым юниксоидам), графический интерфейс отсутствует. Я скажу, что это не совсем так: графический интерфейс таки есть. Тем не менее, оболочки с меню и иконками нет, есть лишь два окошка - командная строка (cmd) и текстовая конфигурационная утилита. Примерно как в Linux, если запустить X, и в качестве оболочки выбрать Xterm. Это в принципе понятно: во-первых, в Windows графика является частью ядра, в отличие от unix-like OS, а во-вторых - некоторые программы требуют для инсталляции и работы графический интерфейс. Тем не менее, режим Server Core позволяет сэкономить ресурсы сервера, и уменьшить объем обновлений - так как меньше кода, меньше и патчей.<br/>Первоначальная настройка осуществляется через текстовую конфигурационную утилиту. Она представляет собой меню. Выбор пунктов осучествляется путем ввода номера нужного пункта меню. Здесь можно сделать самые первичные настройки системы: сетевые настройки, ввод в домен, включение удаленного управления. </p><p><a href=http://itband.ru/wp-content/uploads/2009/06/image4.png><img src=http://itband.ru/wp-content/uploads/2009/06/image-thumb4.png alt=image width=618 height=356/></a></p><p>Все остальные настройки делаются удаленно с рабочей станции администратора, с помощью пакета RSAT (Remote Server Administration Tools).<br/>RSAT - набор утилит, фактически - MMC-шных оснасток, для удаленного управления серверами. Аналог пакета adminpak.msi в Windows Server 200-2003. RSAT можно бесплатно скачать с сайта Microsoft. Есть версии RSAT для Windows Vista, и недавно вышла - для Windows 7. Версии для XP, к превеликому сожалению, нет и не ожидается. По-видимому, MS окончательно ее похоронили.<br/>Для того, чтобы удаленно управлять сервером - необходимо, вначале, это самое удаленное управление разрешить на самом сервере. Делается это в конфигурационной утилите (4й пункт меню). Затем надо разрешить управление MMC (включить нужные правила в фаерволле) - пункт 1, установить PowerShell -пункт 2 (потребует перезагрузки, необходимо будет перезагрузиться для следующего пункта) и разрешить управление через Server Manager - пункт 3. Кстати говоря, этим версия R2 выгодно отличается от предыдущей версии Hyper-V Server: в ней все операции по включению удаленного управления приходилось делать вручную через командную строку, что само по себе является не совсем тривиальной задачей, особенно для тех, кто не сталкивался с командной строкой со времен DOS. Кто знаком с синтаксисом команды netsh - тот меня поймет. </p><p>Затем, на рабочей станции администратора нужно установить пакет RSAT. Установка проходит по методу Next-Next-Next, так что подробно останавливаться не буду. После установки, тем не менее, в отличие от Windows Server 2003, мы не видим новых оснасток в меню Administrative Tools. Чтобы они появились, нам нужно включить соответствующие фичи Windows. Делается это через Control Panel - Programs and Features - Turn Windows Features On or Off. В открывшемся дереве папок надо раскрыть Remote Server Administration Tools. Необходимая нам оснастка, Hyper-V Manager, находится в подпапке Role Administration Tools (Hyper-V Tools). После выбора нужных фич жмем ОК, и оснастки появляются в Administrative Tools.</p><p>После запуска нужной оснастки (например Hyper-V Manager) нужно выбрать Connect to Server..., далее выбрать Remote Server и набрать сетевое имя нашего Hyper-V Server'a. Все, мы подключились. Теперь можно полноценно управлять сервером, например - создавать виртуальные машины.</p><p>Более подробно ознакомиться с материалом статьи, а так же увидеть в живую процесс инсталляции, настройки и управления Hyper-V Server R2 можно в моем вебкасте:<a href=http://www.techdays.ru/videos/1346.html>http://www.techdays.ru/videos/1346.html</a></p><p>В следующей статье я планирую рассказать о создании отказоустойчивой инфраструктуры на базе кластеров Hyper-V Server 2008 R2. Спасибо за внимание!</p> http://www.microsoft.com/rus/business/smb/blog/18/ Microsoft for Business <h2>Введение</h2><br/><p>В предыдущей части данной статьи, вы узнали о средстве, при помощи которого корпорация Microsoft позволяет рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп, и заканчивая сайтами и доменами, а именно об оснастке <strong>Управление групповой политикой</strong>. Вы узнали о том, как можно открыть данную оснастку, а также о создании, редактировании и удалении объектов групповой политики. Для правильного управления вашей организации одного лишь создания объектов GPO недостаточно, так как объект групповой политики - это только набор параметров настроек конфигурации пользователя или компьютера, которые обрабатываются расширениями клиентской стороны (Client-Side Extension - CSE). Чтобы ваши объекты GPO распространялись на клиентов, нужно настраивать связи объектов групповых политик с сайтами, доменами или подразделениями. В этой статье вы узнаете о связях объектов групповых политик.</p><h2>Связывание объектов GPO</h2><br/><p>Как было указано ранее, для правильного управления клиентов, объекты групповых политик должны быть настроены на определенные параметры политик и связаны с доменом, сайтом или подразделением Active Directory. Также вы можете указать определенную группу или пользователей, предназначенных для области применения указанного GPO. Вы можете сначала создать все нужные для вас объекты GPO в контейнере <strong>Объекты групповой политики</strong>, а потом их связать с нужными подразделениями, доменами или сайтами.</p><p>Необходимо помнить, что объект групповой политики, который связан с сайтом, влияет на все компьютеры в указанном сайте независимо от домена, которому принадлежат ваши компьютеры. В связи с этим, для того чтобы применить указанные настройки объектов групповых политик к множеству доменов в лесу, можно связать объекты GPO с сайтом. Такие объекты будут храниться на контроллерах домена. Для создания и привязки объектов групповых политик, у вашей доменной учетной записи должны быть соответствующие права. По умолчанию, за создание и управление объектов GPO отвечают только пользователи, которые входят в группы администраторов домена, администраторов предприятия и владельцев-создателей объектов групповой политики.</p><p>Для того чтобы связать существующий объект групповой политики, выполните следующие действия:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong>;</li><li>Выберите подразделение, домен или сайт, для которого будет создана связь с существующим объектом групповой политики;</li><li>Нажмите на нем правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Связать существующий объект групповой политики</strong>;</li><li>В диалоговом окне <strong>Выбор объекта групповой политики</strong> выделите объект GPO, который хотите привязать к своему подразделению и нажмите на кнопку <strong>ОК</strong>, как показано ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-01.jpg alt=* width=453 height=404/></p><p><strong>Рис. 1. Диалоговое окно Выбор объекта групповой политики</strong></p></ol><p>Также у вас есть возможность привязать к домену, сайту или подразделению еще не существующий объект групповой политики. В этом случае, помимо связи вам также предстоит создание нового объекта GPO. Для этого выполните следующие действия:</p><ol><li>Откройте консоль <strong>Управление групповой политикой</strong>;</li><li>Выберите подразделение, домен или сайт, для которого будет создан и привязан новый объект групповых политик;</li><li>Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Создать объект групповой политики в этом домене и связать его...</strong>;</li><li>В диалоговом окне <strong>Новый объект групповой политики</strong> введите название нового объекта, например,<strong>Ограничения доступа к медиа приложениям</strong> и нажмите на кнопку <strong>ОК</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-02.jpg alt=* width=390 height=173/></p><p><strong>Рис. 2. Создание нового объекта групповой политики вместе со связью</strong></p><li>После нажатия на кнопку <strong>ОК</strong> объект групповой политики будет создан вместе со связью. Для этого объекта нужно будет еще настроить определенную конфигурацию, нажав на нем правой кнопкой мыши и из контекстного меню выбрав команду <strong>Изменить</strong>, о которой рассказывалось в предыдущей части статьи.</li></ol><p>Один объект групповой политики вы можете одновременно связать с несколькими подразделениями, доменами или сайтами. Если вы измените конфигурацию связанного объекта групповой политики, все изменения будут применяться для указанной вами области действия GPO. Связь объекта групповой политики обозначена небольшой стрелочкой на значке объекта групповой политики. Настройки конфигурации объектов групповых политик не применяются к тем пользователям или компьютерам вашей организации, на которые не распространяется область действия объектов групповых политик. Область действия GPO - это совокупность пользователей и компьютеров, к которым применяются параметры GPO.</p><p>Начальная область действия объекта групповой политики назначается при привязке данного объекта к указанному контейнеру. Для того чтобы увидеть контейнеры, к которым привязан существующий объект, выберите данный объект групповой политики и перейдите на вкладку <strong>Область</strong>, как показано на следующей иллюстрации:</p><p><a href=http://oszone.net/figs/u/72715/100412064257/gpmc2-03.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-03_mini_oszone.jpg alt=* width=480 height=125/><br/>Увеличить рисунок</a></p><p><strong>Рис. 3. Область действия объекта групповой политики</strong></p><p>Вы можете просмотреть все измененные параметры политик для конкретного объекта групповой политики. Для этого выполните следующие действия:</p><ol><li>В консоли управления групповой политикой выберите объект групповой политики;</li><li>Перейдите на вкладку <strong>Параметры</strong>;</li><li>В отобразившемся отчете разверните параметры политик, которые хотите просмотреть. После нажатия на ссылку<strong>Показать все</strong>, будут отображены все измененные параметры данного объекта GPO</li><br/><p><a href=http://oszone.net/figs/u/72715/100412064257/gpmc2-04.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-04_mini_oszone.jpg alt=* width=480 height=271/><br/>Увеличить рисунок</a></p><p><strong>Рис. 4. Параметры объекта групповой политики</strong></p><li>Вы можете сохранить данный отчет для дальнейшего изучения или анализа. Для этого нажмите правой кнопкой мыши на отчете и из контекстного меню выберите команду <strong>Сохранить отчет</strong>. В диалоговом окне <strong>Сохранение отчета объекта групповой политики</strong> выберите папку, в которую хотите сохранить отчет, в поле <strong>Имя файла</strong>введите название отчета (по умолчанию название отчета совпадает с наименованием объекта GPO) и нажмите на кнопку <strong>Сохранить</strong>. Отчет можно сохранять как с расширением HTML, так и XML.</li></ol><h2>Принудительные связи объектов групповых политик</h2><br/><p>При создании связей объектов групповых политик для некоторых контейнеров у вас могут возникнуть конфликты параметров политик. Скажем, для подразделения <strong>Группы</strong> у вас есть три связанных объекта GPO и в двух из них указаны разные значения одного и того же параметра политики. Например, в объекте групповой политики <strong>Ограничение доступа к медиа приложениям</strong> для политики <strong>Не запускать Windows Media Center</strong> установлено значение <strong>Включено</strong>, а в объекте <strong>Конфигурация конференц-зала</strong> - наоборот, установлено значение <strong>Отключено</strong>. В этом случае указывается параметр политики, который будет применен к клиентам при помощи приоритета объектов GPO, причем объект с более высоким уровнем приоритета будет иметь преимущество над теми объектами групповой политики, чьи приоритеты ниже.</p><p>Приоритеты можно найти в консоли <strong>Управление групповой политикой</strong> на вкладке <strong>Наследование групповой политики</strong> для выбранного контейнера, как показано ниже:</p><p><a href=http://oszone.net/figs/u/72715/100412064257/gpmc2-05.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-05_mini_oszone.jpg alt=* width=480 height=109/><br/>Увеличить рисунок</a></p><p><strong>Рис. 5. Наследование групповой политики</strong></p><p>На предыдущей иллюстрации видно, что на подразделение <strong>Группы</strong> распространяются четыре объекта групповых политик, причем у объекта групповой политики с наименьшим значением самый высокий приоритет. Т.е., в данном случае, значения параметров политик объекта групповой политики <strong>Политика аудита</strong> доминирует над всеми остальными объектами GPO для данного подразделения. Но если в объекте групповой политики с наивысшим приоритетом значение для какого-либо параметра не задано, то будут применяться параметры политики с объекта групповой политики с более низким приоритетом. Наследование и делегирование групповых политик будут подробно рассмотрены в одной из следующих статей.</p><p>Оснастка <strong>Управление групповой политикой</strong> позволяет включать принудительную связь объекта групповой политики. При включении принудительной связи для объекта групповой политики, данный объект получит наивысший приоритет по отношению к остальным объектам, как выбранного контейнера, так и для всех дочерних. Для того чтобы установить принудительную связь для объекта групповой политики, выполните следующие действия:</p><ol><li>Выберите контейнер, к которому привязаны несколько объектов групповых политик;</li><li>Перейдите на вкладку <strong>Связанные объекты групповой политики</strong>, выберите объект, для которого хотите установить принудительную связь, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Принудительный</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-06.jpg alt=* width=429 height=226/></p><p><strong>Рис. 6. Установка принудительной связи</strong></p><li>В диалоговом окне <strong>Управление групповой политикой</strong> нажмите на кнопку <strong>ОК</strong>;</li><li>После установки принудительной связи, на вкладке <strong>Связанные объекты групповой политики</strong> для данного объекта появится значок в виде висячего замка, который обозначает принудительное включение связи. Перейдите на вкладку <strong>Наследование групповой политики</strong>. Здесь вы можете увидеть результирующий приоритет объектов групповых политик, где в столбце Приоритет установленная принудительная связь будет отображаться сверху с пометкой <strong>(Принудительный)</strong>.</li><br/><p><a href=http://oszone.net/figs/u/72715/100412064257/gpmc2-07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-07_mini_oszone.jpg alt=* width=480 height=132/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Принудительная связь объекта групповой политики</strong></p></ol><h2>Отключение объектов групповых политик</h2><br/><p>При необходимости, для определенного объекта групповой политики вы можете запретить изменение параметров политик для узлов <strong>Конфигурация компьютера</strong> или <strong>Конфигурация пользователя</strong> средствами изменения состояния объекта GPO. Для этого выберите объект групповой политики, перейдите на вкладку <strong>Таблица</strong> и из раскрывающегося списка<strong>Состояние GPO</strong> выберите один из следующих параметров:</p><p><img src=http://oszone.net/figs/u/72715/100412064257/gpmc2-08.jpg alt=* width=480 height=338/></p><p><strong>Рис. 8. Выбор состояния объекта групповой политики</strong></p><ul><li><strong>Включено</strong>. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация пользователя. Данный параметр установлен для всех объектов групповых политик по умолчанию;</li><li><strong>Все параметры отключены</strong>. При выборе данного параметра, объект групповой политики не будет обрабатываться;</li><li><strong>Параметры конфигурации компьютера отключены</strong>. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации пользователя. В свою очередь, параметры конфигурации компьютера будут отключены;</li><li><strong>Параметры конфигурации пользователя отключены</strong>. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, параметры конфигурации пользователя будут отключены;</li></ul><p>Установить состояние объектов групповых политик вы можете и другим методом. Для этого разверните контейнер<strong>Объекты групповой политики</strong>, выберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню выберите команду <strong>Состояние объекта групповой политики</strong> и установите требуемое состояние. Но в этом случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в дальнейшем будет создана связь с данным объектом GPO.</p><h2>Отключение связи</h2><br/><p>Если вы случайно неправильно создали связь для объекта групповой политики, не стоит волноваться. Всегда такую связь можно удалить без нанесения ущерба самому объекту групповой политики. После удаления связи, объект GPO из контейнера <strong>Объекты групповой политики</strong> остается. Вы можете полностью удалить связь или отключить ее. Для удаления связи объекта групповой политики, выполните следующие действия:</p><ol><li>Откройте контейнер, для которого вам нужно удалить объект GPO;</li><li>Выберите удаляемый объект групповой политики и нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду <strong>Удалить</strong>;</li><li>В диалоговом окне <strong>Управление групповой политикой</strong> нажмите на кнопку <strong>ОК</strong>.</li></ol><p>Для того чтобы отключить объект групповой политики выберите отключаемый объект GPO и из контекстного меню снимите флажок с команды <strong>Связь включена</strong>. После того как вы отключите связь объекта GPO, изменится и его область действия, которая больше не будет применяться для данного контейнера до тех пор, пока вы самостоятельно не включите ее. При отключении связи, значок данного объекта выглядит более прозрачным.</p><h2>Заключение</h2><br/><p>В этой статье описаны методы привязки объектов групповых политик к сайтам, доменам и подразделениям вашей организации. Вы узнали о том, как можно связать существующий объект GPO с любым контейнером вашего предприятия, а также как можно создать для конкретного контейнера новый связанный объект групповой политики. Кроме того, вы ознакомились с понятием принудительных связей объектов групповых политик и научились отключать и удалять связанные объекты GPO. В следующей статье вы сможете подробно ознакомиться с понятиями наследования и делегирования объектов групповых политик.</p> http://www.microsoft.com/rus/business/smb/blog/17/ Microsoft for Business <p>Для грамотного управления виртуальной инфраструктурой необходимо иметь представление о том, как организуется сетевое взаимодействие виртуальных машин между собой, с хостовой ОС (parent partition в терминологии MS), и с самой локальной сетью. В этой статье я постараюсь объяснить в меру своих возможностей тонкости работы виртуальных машин с сетью. Тем, кто уже работал с другими платформами виртуализации (VMWare, Virtual Server, etc.) все, о чем я буду писать, скорее всего, уже известно, тем не менее, на уровне терминологии вполне возможны некие различия.</p><h2>Работа с виртуальными сетями</h2><br/><p>Все сетевое взаимодействие в среде Microsoft Hyper-V осуществляется через <strong>виртуальные сети</strong> (<strong>Virtual Networks</strong>). Де-факто виртуальная сеть - это виртуальный коммутатор, работающий на 2м уровне модели OSI. К этому виртуальному коммутатору в дальнейшем могут подсоединяться сетевые адаптеры: как виртуальные, так и физические. Тем не менее, надо отметить, что взаимодействовать между собой виртуальные сети не могут. Для такого взаимодействия необходимо некое внешнее устройство. Я все же надеюсь, что в одной из следующих версий появятся полноценные виртуальные сети с виртуальными коммутаторами - например такие, как в VMWare ESX.<br/>В Hyper-V существует три типа виртуальных сетей: </p><ul><li><strong>External </strong>- эта виртуальная сеть имеет выход наружу. Это означает, что к виртуальному коммутатору будет подключен порт физического сетевого адаптера, и виртуальные машины, подключенные к сети смогут работать с сетью точно так же, как обычные физические машины, подключенные к сети.</li></ul><ul><li><strong>Internal </strong>- внутренняя сеть. Виртуальные машины, подключенные к такой сети, могут взаимодействовать только между собой и с хостовой ОС. Во внешний мир они выходить не смогут.</li></ul><ul><li><strong>Private </strong>- еще более внутренняя сеть. Виртуальные машины могут взаимодействовать только между собой, к хостовой ОС и к общей сети доступа нет.</li></ul><p>Создание новых виртуальных сетей, а так же изменение параметров уже созданных осуществляется через <strong>Virtual Network Manager</strong> (в правой колонке консоли Hyper-V Manager). Чтобы создать новую сеть - нужно выбрать <strong>New virtual network</strong>, затем выбрать тип сети и нажать <strong>Add</strong>.</p><p><img src=http://itband.ru/wp-content/uploads/2009/04/vn-1.png alt=Окно Virtual Network Manager width=548 height=509/></p><p><em>Окно Virtual Network Manager</em></p><p>После нажатия <strong>Add</strong> в списке виртуальных сетей появляется новая, с дефолтным именем New Virtual Network. Выбрав ее, можно задать новое имя сети (рекомендуется давать понятные имена - например External, Internal и т.д.). Здесь же можно поменять тип сети на другой или включить идентификацию VLAN (подробнее о VLAN - далее). Если выбран тип сети <strong>External</strong> - то здесь же можно выбрать физический сетевой адаптер, к которому эта сеть будет подсоединена. Это может быть важно, если сервер имеет несколько физических сетевых адаптеров.</p><h2>Переходим к виртуальным машинам...</h2><br/><p>Логично, что для того, чтобы работать с сетью, виртуальная машина должна иметь как минимум один виртуальный сетевой адаптер. Все создаваемые виртуальные машины по умолчанию комплектуются одним сетевым адаптером. При создании виртуальной машины можно выбрать, к какой из созданных виртуальных сетей он будет подключен. Если виртуальная машина должна иметь несколько сетевых адаптеров - их необходимо добавить вручную в свойствах виртуальной машины. Разумеется, виртуальная машина должна быть в выключенном состоянии (Off), чтобы иметь возможность добавления новых виртуальных железок. В Hyper-V есть два типа сетевых адаптеров:<strong>Network Adapter</strong> и <strong>Legacy Network Adapter</strong>. <strong>Network Adapter</strong> - работает на скорости 1Гбит/с, и требует для своей работы установленных Integration Services. <strong>Legacy Network Adapter </strong>эмулирует работу 100Мбит/с сетевого адаптера Intel 21140-based PCI Fast Ethernet Adapter. Рекомендуется использовать<strong> Network Adapter</strong>, так как он работает намного быстрее. Использовать <strong>Legacy Network Adapter </strong>имеет смысл в двух случаях:</p><ul><li>Если версия ОС, установленная на виртуальной машине, не позволяет установить Integration Services.</li></ul><ul><li>Если на виртуальной машине будет использоваться удаленная загрузка ОС (к примеру - установка Windows c сервера RIS/WDS).</li></ul><p>У любого виртуального сетевого адаптера, независимо от его типа, есть некотрые настройки.</p><p><img src=http://itband.ru/wp-content/uploads/2009/04/vn-2.png alt=Свойства виртуального сетевого адаптера width=548 height=511/></p><p><em>Свойства виртуального сетевого адаптера</em></p><p>Самое, пожалуй, главное здесь - выбор виртуальной сети, к которой наш адаптер будет подключен. Так же здесь можно задать адаптеру определенный MAC-адрес (мне еще ни разу не пригодилось) и присвоить адаптеру определенный VLAN ID.</p><h2>А как же хост?</h2><br/><p>Как уже писалось, в некоторых случаях виртуальные сети могут взаимодействовать так же и с хостовой ОС, установленной на физическом сервере. Как это происходит? Очень просто. Допустим, у нас создана одна виртуальная сеть типа <strong>External</strong> (Ext), одна - типа <strong>Internal </strong>(Int)<strong>,</strong> и одна - типа<strong>Private</strong> (Pvt). Заглянем в управление сетевыми адаптерами (<strong>Control Panel - </strong><strong>Network and Sharing Center - Manage Network Connections</strong>). <img src=http://itband.ru/wp-content/uploads/2009/04/vn-41.png alt=vn-41 width=591 height=214/></p><p><em>Сетевые адаптеры на хосте</em></p><p>В нашем случае - у сервера появилось три сетевых адаптера. Слева - направо:</p><ul><li>Железный сетевой адаптер, установленный в сервер. Играет исключительно роль моста между гипервизором и сетью, если открыть его свойства - все протоколы 3го уровня и выше на нем отключены, включен только Microsoft Virtual Network Switching Protocol (думаю, понятно и без перевода).</li><li>Виртуальный адаптер для External-сети (именно на нем прописаны IP-адрес, под которым наш сервер присутствует в сети, DNS, etc.). Взаимодействует хостовая ОС с сетью именно через этот виртуальный адаптер, и уже с него пакеты переправляются в сеть через физический адаптер.</li><li>Виртуальный адаптер для Internal-сети. Используется для связи виртуальной сети и хостовой ОС, с физическими сетевыми адаптерами не связан.</li></ul><p>Для виртуальной сети типа Private никакие виртуальные сетевые адаптеры, естественно, не создаются. В Private-сети виртуальные машины взаимодействуют исключительно между собой.</p><h2>Масло масляное, или виртуальная сеть внутри виртуальной сети</h2><br/><p>Аббревиатура <strong>VLAN</strong> расшифровывается как Virtual Local Area Network. К сожалению, понятие виртуальная сеть мы уже использовали, так что прошу не путать виртуальную сеть и VLAN. Итак, что же такое VLAN? VLAN - это расширение 2 уровня OSI, заключающееся в пометке пакетов специальным номером (<strong>VLAN ID</strong>). Каждому сетевому адаптеру, входящему в VLAN, присваивается одинаковый VLAN ID. Адаптер, отправляющий пакет, помечает его своим VLAN ID. Коммутаторы (виртуальные сети, и физические коммутаторы, поддерживающие VLAN) хранят таблицу соответствия МАС-адресов сетевых адаптеров и VLAN ID, и благодаря этому к адаптерам, имеющим VLAN ID, попадают только те пакеты, которые помечены соответствующим номером, то есть, даже будучи подключенными к одному и тому же коммутатору, сетевые адаптеры могут быть разнесены по разным VLANам и таким образом находится в разных широковещательных доменах. То есть фактически - это сеть внутри сети. В нашем случае получается еще смешнее: виртуальная сеть внутри виртуальной сети.<br/>Проиллюстрировать принцип работы VLANов можно следующей картинкой: </p><p><img src=http://itband.ru/wp-content/uploads/2009/04/vn-3.png alt=Иллюстрация работы VLAN'ов width=576 height=355/></p><p><em>Иллюстрация работы VLAN'ов</em></p><p>На рисунке мы видим 3 виртуальные машины внутри одного хоста. Физически они соединены с одним виртуальным коммутатором. Тем не мене, логически - только адаптеры внутри одного VLAN могут обмениваться пакетами друг с другом.<br/>Надеюсь, что я объяснял не слишком сумбурно, и этой статьи достаточно, чтобы понять, как организуется сетевое взаимодействие в среде Hyper-V. Если я что-то упустил - смело скажите об этом в комментариях, я обязательно поправлю. </p> http://www.microsoft.com/rus/business/smb/blog/16/ Microsoft for Business <h2>Введение</h2><br/><p>В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами. В домене Active Directory все объекты групповой политики создаются и управляются при помощи единой административной оснастки консоли управления Microsoft - <strong>Управление групповой политикой</strong>. Именно об использовании данной оснастки пойдет речь в текущей статье.</p><h2>Открытие оснастки и изменение пользовательского интерфейса</h2><br/><p>Оснастка <strong>Управление групповой политикой</strong> устанавливается на сервер вместе с ролью <strong>Доменные службы Active Directory</strong> (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в <strong>Диспетчере сервера</strong>, в узле <strong>Сводка компонентов</strong> перейдите по ссылке <strong>Добавить компонент</strong>. Выберите компонент <strong>Управление групповой политикой</strong>в диалоговом окне <strong>Мастер добавления компонентов</strong> и следуйте инструкциям мастера. По завершению установки закройте мастер установки.</p><p>Также есть альтернативный способ установки данного компонента - использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите<strong>ServerManagerCmd -install gpmc</strong>. При желании вы можете вывести результат установки в xml файл, используя параметр <strong>-resultPath</strong>.</p><p>Для того чтобы открыть оснастку Управление групповой политикой, выполните любое из следующих действий:</p><ul><li>Нажмите на кнопку <strong>Пуск</strong>, выберите меню <strong>Администрирование</strong>, а затем откройте <strong>Управление групповой политикой</strong>;</li><li>Воспользуйтесь комбинацией клавиш <img src=http://oszone.net/figs/u/72715/100328074852/winkey.png alt=* width=20 height=19/>+R для открытия диалога <strong>Выполнить</strong>. В диалоговом окне<strong>Выполнить</strong>, в поле <strong>Открыть</strong> введите <em>gpmc.msc</em> и нажмите на кнопку <strong>ОК</strong>;</li><li>Нажмите на кнопку <strong>Пуск</strong> для открытия меню, в поле поиска введите <em>Управление групповой политикой</em> и откройте приложение в найденных результатах;</li><li>Откройте <strong>Консоль управления MMC</strong>. Для этого нажмите на кнопку <strong>Пуск</strong>, в поле поиска введите <em>mmc</em>, а затем нажмите на кнопку <strong>Enter</strong>. Откроется пустая консоль MMC. В меню <strong>Консоль</strong> выберите команду <strong>Добавить или удалить оснастку</strong> или воспользуйтесь комбинацией клавиш <strong>Ctrl+M</strong>. В диалоге <strong>Добавление и удаление оснасток</strong> выберите оснастку <strong>Управление групповой политикой</strong> и нажмите на кнопку <strong>Добавить</strong>, а затем нажмите на кнопку <strong>ОК</strong>.</li></ul><p>На следующей иллюстрации изображена оснастка <strong>Управление групповой политикой</strong>:</p><p><a href=http://oszone.net/figs/u/72715/100328074852/gpmc1-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-01_mini_oszone.jpg alt=* width=480 height=343/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Оснастка Управление групповой политикой</strong></p><p>Содержимое оснастки <strong>Управление групповой политикой</strong> предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню <strong>Вид</strong> и выберите команду<strong>Параметры</strong>. В диалоговом окне <strong>Параметры</strong> вы можете настроить элементы, параметры которых располагаются в следующих вкладках:</p><ul><li><strong>Вкладка Столбцы</strong>. На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: <strong>Наследование групповой политики</strong>, <strong>Начальные объекты групповой политики</strong>, <strong>Объекты групповой политики</strong>, <strong>Связанные объекты групповой политики</strong> и <strong>Фильтры WMI</strong>. Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле <strong>Столбцы отображаются в следующем порядке</strong> снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки <strong>Вверх</strong> или <strong>Вниз</strong>. Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок <strong>Сохранять порядок и размеры изменяемых столбцов</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-02.jpg alt=* width=401 height=408/></p><p><strong>Рис. 2. Вкладка Столбцы параметров оснастки</strong></p><li><strong>Вкладка Отчет</strong>. Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a> останется без изменений. Если переключатель будет установлен на параметре <strong>По умолчанию</strong>, то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр <strong>настраиваемое</strong>, то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-03.jpg alt=* width=401 height=408/></p><p><strong>Рис. 3. Вкладка Отчет параметров оснастки</strong></p><li><strong>Вкладка Общие</strong>. На вкладке <strong>Общие</strong> настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-04.jpg alt=* width=401 height=408/></p><p><strong>Рис. 4. Вкладка Общие параметров оснастки</strong></p></ul><h2>Создание и редактирование объектов групповой политики</h2><br/><p>Используя оснастку <strong>Управление групповой политикой</strong> вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:</p><h3>Создание объекта групповой политики с комментарием</h3><p>Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:</p><ol><li>В оснастке <strong>Управление групповой политикой</strong> разверните узел лес, домен, название вашего домена и выберите контейнер <strong>Объекты групповой политики</strong>. Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;</li><li>Щелкните правой кнопкой мыши на данном контейнере и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>, как изображено ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-05.jpg alt=* width=480 height=343/></p><p><strong>Рис. 5. Создание объекта групповой политики</strong></p><li>В диалоговом окне <strong>Новый объект групповой политики</strong> введите название объекта в поле <strong>Имя</strong>, например,<strong>Корпоративные требования</strong> и нажмите на кнопку <strong>ОК</strong>.</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-06.jpg alt=* width=390 height=173/></p><p><strong>Рис. 6. Диалоговое окно Новый объект групповой политики</strong></p></ol><h3>Редактирование объекта групповой политики</h3><p>После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки <strong>Редактор управления групповыми политиками</strong>. Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку <strong>Игры</strong> в меню<strong>Пуск</strong>. Для этого выполните следующие действия:</p><ol><li>Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>Разверните узел <strong>Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center</strong>;</li><li>Откройте свойства параметра политики <strong>Не запускать Windows Media Center</strong> и установите переключатель на опцию Включить. В поле комментарий введите свой комментарий, например, <strong>В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение</strong> и нажмите на кнопку <strong>ОК</strong>.</li><br/><p><a href=http://oszone.net/figs/u/72715/100328074852/gpmc1-07.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-07_mini_oszone.jpg alt=* width=480 height=381/><br/>Увеличить рисунок</a></p><p><strong>Рис. 7. Изменение групповых политик для созданного объекта</strong></p><li>Повторите аналогичные действия для параметров политик <strong>Запретить выполнение программы Звукозапись</strong> и<strong>Удалить ссылку Игры из меню Пуск</strong> из узла <strong>Конфигурация пользователя/Политики/Административные шаблоны/Меню Пуск и панель задач</strong>.</li><li>Закройте редактор управления групповыми политиками.</li></ol><p>Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:</p><ol><li>Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду <strong>Изменить</strong>;</li><li>В дереве консоли оснастки <strong>Редактор управления групповыми политиками</strong> нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду <strong>Свойства</strong>;</li><li>В диалоговом окне <strong>Свойства: имя объекта групповой политики</strong> перейдите на вкладку <strong>Комментарий</strong> и введите примечание для вашего GPO, например, <strong>Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-08.jpg alt=* width=404 height=448/></p><p><strong>Рис. 8. Добавление комментария для объекта групповой политики</strong></p><li>Нажмите на кнопку <strong>ОК</strong>, а затем закройте оснастку <strong>Редактор управления групповыми политиками</strong>.</li></ol><h2>Поиск объектов групповой политики</h2><br/><p>При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:</p><ol><li>В дереве консоли оснастки <strong>Управление групповой политикой</strong> щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду <strong>Найти</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-09.jpg alt=* width=289 height=157/></p><p><strong>Рис. 9. Поиск объекта групповой политики</strong></p><li>В диалоговом окне <strong>Поиск объектов групповой политики</strong> в раскрывающемся списке <strong>Искать объекты групповой политики в домене:</strong> можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-10.jpg alt=* width=480 height=55/></p><p><strong>Рис. 10. Выбор домена для поиска GPO</strong></p><li>В раскрывающемся списке <strong>Элемент поиска</strong>, выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент <strong>Имя объекта групповой политики</strong>;</li><li>Раскрывающийся список <strong>Условие</strong> позволяет выбрать условие для поиска. Доступные варианты <strong>Содержит</strong>, <strong>Не содержит</strong> и <strong>совпадает</strong>. При выборе условия <strong>совпадает</strong> вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;</li><li>В поле <strong>Значение</strong> введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;</li><li>Нажмите на кнопку <strong>Добавить</strong> для выбора условия поиска;</li><li>По нажатию на кнопку <strong>Найти</strong> будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100328074852/gpmc1-11.jpg alt=* width=480 height=448/></p><p><strong>Рис. 11. Результаты поиска</strong></p><li>Для того чтобы сразу перейти к оснастке <strong>Редактор управления групповыми политиками</strong> нажмите на кнопку<strong>Изменить</strong>, для сохранения текущих результатов поиска нажмите на кнопку <strong>Сохранить результаты</strong>(результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку <strong>Очистить</strong>результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку <strong>Закрыть</strong>или на клавишу <strong>Esc</strong>.</li></ol><h2>Удаление объекта групповой политики</h2><br/><p>При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:</p><ul><li>Нажмите на клавишу <strong>Delete</strong> и в диалоговом окне <strong>Управление групповой политикой</strong> нажмите на кнопку <strong>Да</strong>;</li><li>Нажмите на кнопку <strong>Удалить</strong> (в виде красного креста) на панели инструментов, а затем в диалоговом окне<strong>Управление групповой политикой</strong> нажмите на кнопку <strong>Да</strong>;</li><li>Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду<strong>Удалить</strong>. Затем в диалоговом окне <strong>Управление групповой политикой</strong> нажмите на кнопку <strong>Да</strong>.</li></ul><h2>Заключение</h2><br/><p>В этой статье рассмотрены базовые принципы работы с оснасткой <strong>Управление групповой политикой</strong>, предназначенной для создания и управления объектов групповых политик в домене Active Directory. Вы узнали о способах открытия данной оснастки и настройки пользовательского интерфейса, а также о том, как можно создавать и редактировать новые объекты групповых политик и их комментарии, выполнять поиск существующих объектов, а также о способах их удаления. В следующей статье я продолжу описание управления инфраструктурными единицами организации, используя оснастку <strong>Управление групповой политикой</strong>.</p> http://www.microsoft.com/rus/business/smb/blog/15/ Microsoft for Business <h2>Введение</h2><br/><p>Как известно, доменные службы Active Directory - это центральное хранилище всех объектов и соответствующих им атрибутов в организации. База данных Active Directory имеет иерархическую структуру, и она способна вмещать миллионы объектов. По умолчанию в домене Active Directory все контроллеры доменов являются равноправными, то есть все контроллеры домена, кроме контроллеров домена только для чтения RODC могут записывать изменения в базу данных и реплицировать все эти изменения на другие контроллеры домена. Такая топология называется репликацией с множеством равноправных участников (Multimaster), которая хорошо работает для большинства операций, но определённые операции все же должны выполняться на отдельном уполномоченном сервере. В Active Directory, контролеры домена, которые выполняют особую роль, называются <strong>мастерами</strong>, или <strong>хозяевами операций</strong>. По сути, другие контроллеры домена также могут выполнять эту роль, но она назначается лишь одному контроллеру домена. На такие контроллеры домена добавляется гибкая роль FXMO (Flexible Single-Master Operations), которая произносится как fizz-mo. Некий ограниченный набор операций нельзя выполнять в различных местах одновременно, а можно лишь на одном контроллере в домене или лесу. Использование операций с единственным мастером предотвращает возникновение конфликтных ситуаций в тех случаях, когда мастер операции отключен. Мастер роли FSMO должен быть доступен в то время, когда на уровне домена или леса выполняются зависящие от него действия. Доменные службы Active Directory содержат пять ролей мастеров операций, которые могут быть определены во время установки контроллера домена Active Directory. Для всего леса определены две роли: <strong>мастер именования доменов</strong> и <strong>мастер схемы</strong>, а в каждом домене предусмотрены три роли:<strong>мастер относительного идентификатора RID</strong>, <strong>мастер инфраструктуры</strong>, а также <strong>эмулятор главного контроллера домена PDC</strong>. Стоит обратить внимание на то, что в каждом лесе может быть только одна из ролей леса мастеров операций. Причем, когда устанавливается первый контроллер домена Active Directory в лесе, ему будут добавлены все пять ролей, а при создании нового домена в существующем лесу, новому контроллеру домена присваиваются три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле (количество доменов * 3) + 2.</p><p>Например, если у вас есть лес Active Directory с тремя доменами, где есть дочерний и внучатый домен, то такой лес будет содержать 11 ролей FSMO, то есть: одного мастера схемы, одного мастера именования доменов, три эмулятора PDC (для основного, дочернего и внучатого домена по одной роли), три хозяина RID для каждого домена, а также три мастера инфраструктуры для каждого домена.</p><p>По умолчанию, мастер установки контроллера домена Active Directory выполняет первоначальное размещение ролей на контроллерах домена. Для доменов, которые содержат небольшое количество контроллеров домена, такое решение является оптимальным вариантом. Но в том случае, если ваша организация насчитывает большое количество контроллеров доменов, вам предстоит спроектировать оптимальное размещение мастеров операций среди контроллеров домена в вашей организации. В этой статье будут рассмотрены все пять ролей FSMO.</p><h2>Роль мастера схемы</h2><br/><p>Контроллер домена, выполняющий роль <strong>мастера схемы</strong>, отвечает за внесение всех изменений в схему леса и является единственным контроллером домена, который располагает разрешением записи в схему каталогов. Все остальные контроллеры домена содержат только реплики схемы с правом только для чтения. Схема определяет каждый класс и атрибут, который может храниться в доменных службах Active Directory. Все объекты являются экземплярами класса, и, прежде чем создавать какой-либо объект, следует определить его класс. Для каждого леса существует лишь одна схема, и она реплицируется на каждый контроллер домена в лесе. Установки приложений, которые модифицируют схему и ручную модификацию схемы желательно выполнять на контроллере домена, который управляет данной ролью. Для внесения изменений администратор должен подключиться к мастеру схемы и должен входить в группу безопасности<strong>Администраторы схемы</strong>. При попытке модификации схемы не на контроллере домена, выполняющем роль мастера схемы, действие обычно завершается отказом и вам нужно после внесения изменений в схеме переслать их на контроллер домена с ролью мастера схемы. После того как изменения в схему будут внесены, обновление схемы реплицируется на остальные контроллеры домена.</p><p>Роль мастера схемы присваивается первому контроллеру домена, который устанавливается в лесу и эту роль желательно размещать вместе с ролью мастера именования доменов на одном контроллере домена. Несмотря на рекомендации, вы можете в любое время переместить эту роль на любой контроллер домена при помощи оснастки <strong>Схема Active Directory</strong>или посредством утилиты командной строки <strong>Ntdsutil</strong>. Идентифицируется мастер схемы значением атрибута fSMORoleOwner корневого объекта раздела схемы.</p><h2>Роль мастера именования доменов</h2><br/><p>Контроллер домена, который содержит роль <strong>мастера именования доменов</strong>, используется для управления добавлением и удалением всех разделов и иерархии леса. Мастер именования доменов должен быть доступен при добавлении или удалении домена, иначе при выполнении соответствующей операции возникнут ошибки. Контроллер домена с ролью мастера именования доменов в большинстве случаев предназначен для выполнения следующих четырех операций:</p><ul><li><strong>Добавление и удаление доменов</strong>. Вы имеете право добавлять новый домен только на контроллере домена, который содержит роль именования доменов. Во время использования мастера установки Active Directory, в процессе создания или удаления дочернего домена мастер установки обращается к мастеру именования доменов и запрашивает добавление или удаление. Мастер именования доменов обеспечивает уникальность доменных имен. В том случае, если мастер именования доменов будет недоступен, вы не сможете добавлять или удалять домены в лесе;</li><li><strong>Добавление и удаление объектов перекрестных ссылок</strong>. Во время создания первого контроллера домена в новом лесу создаются разделы каталога схемы, конфигурации и домена. В это время, для каждого раздела каталогов в контейнере Partitions раздела конфигурации (CN=partitions,CN=configuration,DC=forestRootDomain) создается объект перекрестных ссылок (класс crossRef). При создании каждого последующего домена или раздела каталога приложений, инициируется создание объекта перекрестных ссылок в контейнере Partitions. Помимо автоматического процесса создания объектов перекрестных ссылок, вы можете создать такие объекты вручную. Объект перекрестных ссылок определяет имена сервера, и расположение каждого раздела каталога в лесу. Для создания новых объектов перекрестных ссылок используются запросы LDAP. В том случае, если мастер именования доменов недоступен, вы не сможете добавлять или удалять объекты перекрестных ссылок;</li><li><strong>Добавление и удаление разделов каталогов приложений</strong>. Разделами каталогов приложений называются специальные разделы, которые вы можете создавать на контроллерах домена Windows Server 2003, Windows Server 2008 или <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> для обеспечения хранилища динамических данных приложений LDAP. В лесу Windows Server 2000 не доменные данные ограничиваются конфигурацией и данными схемы, которые реплицируются на все контроллеры домена в лесу. В лесу <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a>/2008 и 2008R2, разделы каталога приложений обеспечивают хранение на контроллере домена специфических данных приложений, которые могут быть воспроизведены на любом контроллере домена в лесу. Если контроллер домена, управляющий ролью именования доменов недоступен, вы не сможете добавлять или удалять разделы каталогов в лесу;</li><li><strong>Подтверждение инструкций переименования доменов</strong>. При использовании утилиты Rendom.exe, которая предназначена для переименования доменов, для того чтобы переименовать домен, утилита должна иметь доступ к мастеру именования доменов. Помимо вышеперечисленных возможностей, мастер именования доменов также отвечает за подтверждение инструкций переименования доменов. При запуске указанного средства, на контроллере домена с ролью мастера именования доменов, в атрибут msDS-UpdateScript объекта контейнера Partitions (CN=partitions,CN=configuration,DC=forestRootDomain) раздела каталогов Configuration записывается XML-сценарий, содержащий инструкции переименования доменов. Стоит помнить, что контейнер Partitions можно обновлять только на контроллере домена, который содержит роль мастера именования доменов. В дополнение к значению атрибута msDS-UpdateScript, утилита Rendom.exe записывает новое DNS-имя каждого переименованного домена в атрибут msDS-DnsRootAlias объекта перекрестной ссылки (класс crossRef), соответствующего этому домену. Опять же, поскольку объект перекрестной ссылки хранится в контейнере Partitrions, данный объект может обновляться только на контроллере домена с ролью мастера именования доменов. Измененные данные атрибутов msDS-UpdateScript и msDS-DnsRootAlias реплицируются на все контролеры домена в лесу.</li></ul><p>По умолчанию, роль мастера именования доменов получает первый контроллер домена в новом лесу, но вы в любой момент можете переместить данную роль при помощи оснастки <strong>Active Directory - домены и доверие</strong> или утилиты командной строки <strong>Ntdsutil.exe</strong>. Не стоит забывать о том, что рекомендуется расположить на одном контроллере домена роли мастера схемы и мастера именования доменов. Контроллер домена, которому присвоена роль мастера именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции могут завершиться неудачно. Идентифицируется мастер схемы значением атрибута fSMORoleOwner в контейнере Partitions.</p><h2>Роль мастера RID</h2><br/><p><strong>Мастер относительных идентификаторов (RID)</strong> - это роль мастера операций для домена, которая используется для управления пулом идентификаторов RID с целью генерирования идентификаторов безопасности (SID) для таких принципалов безопасности как пользователи, группы и компьютеры. Идентификатор SID принципала безопасности должен быть уникальным для всего домена, поэтому каждому принципалу безопасности присваивается уникальный идентификатор безопасности SID, который содержит идентификатор домена и относительный идентификатор RID, который является уникальным для каждого принципала безопасности. Во всех идентификаторах SID присутствуют четыре различных элемента. Например, элементы идентификатора S-1-5-Y1-Y2-Y3-Y4 предоставлены в следующей таблице:</p><table> <tbody> <tr> <td><strong>Элемент идентификатора SID</strong></td><td><strong>Описание</strong></td></tr><tr> <td>S1</td><td>Указывает ревизию SID. В настоящее время для SID используется только одна ревизия</td></tr><tr> <td>5</td><td>Указывает центр выдачи принципала безопасности. Значение 5 всегда указывается для доменов Windows NT, Windows 2000, <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows 2003</a>, Windows 2008 и Windows 2008 R2.</td></tr><tr> <td>Y1-Y2-Y3</td><td>Часть идентификатора SID домена. Для принципалов безопасности, созданных в домене этот элемент идентификатора идентичен</td></tr><tr> <td>Y4</td><td>Относительный идентификатор (RID) для домена, который представляет имя пользователя или группы. Этот элемент генерируется из пула RID на контроллере домена во время создания объекта</td></tr></tbody></table><p>Так как принципалы безопасности может создавать любой контроллер домена, необходим механизм, гарантирующий уникальность SID-идентификаторов, генерируемых контроллером домена и поэтому мастер RID следит за тем, чтобы два контроллера домена не назначали одинаковые идентификаторы RID. Мастер RID присваивает блок относительных идентификаторов RID, которые называются пулом RID, каждому контроллеру в домене. Другими словами, мастер операций RID отвечает за поддержку пула относительных идентификаторов для использования контроллеров домена в домене и предоставления групп относительных идентификаторов для каждого контроллера домена. Когда к домену добавляется новый контроллер домена, мастер RID назначает этому контроллеру домена пул из 500 относительных запросов RID. Каждый раз, когда на контроллере домена создается новый принципал безопасности, для присвоения идентификатора новому объекту, контроллер домена назначает относительный идентификатор из своего пула. Когда число относительных идентификаторов RID в этом RID-пуле на любом контроллере домена опускается ниже 100, мастер RID выполняет запрос еще одного блока RID. Выполнив запрос, мастер RID назначает контроллеру домена еще один пул из 500 относительных идентификаторов RID.</p><p>На самом деле мастер RID не ведет счет номеров пула, а обслуживает высшее значение последнего выделенного диапазона. При получении нового запроса, увеличивается значение нового пула на единицу и 499 новых значений. После этого два значения отправляются запрашиваемому контроллеру домена для использования новых относительных идентификаторов RID. Если локальный пул RID контроллера домена пуст или мастер RID в течение некоторого времени недоступен, процесс создания учетных записей на некоторых контроллерах домена может прерваться и в журнале событий этого контроллера домена будет записано событие с кодом 16645. Этот код ошибки указывает на то, что присвоен максимальный идентификатор учетной записи из выделенных на контроллер домена и контроллер домена не смог получить новый пул идентификаторов от мастера RID. Таким же образом, при добавлении нового объекта в домен будет создано событие с кодом 16650, указывающее на то, что объект не может быть создан, так как служба каталогов не смогла выделить относительный идентификатор. Механизм запрашивания нового блока идентификаторов RID предназначен для предотвращения таких прерываний, поскольку запрос выполняется перед исчерпыванием всех доступных RID идентификаторов в пуле. Чтобы включить процесс создания учетных записей заново, нужно либо подключить к сети контролер домена, который управляет ролью мастера RID, либо переместить эту роль еще на один контроллер домена.</p><p>Миграция объектов Active Directory из одного домена в другой также требует наличия мастера RID. Вы можете перемещать объект из одного домена в другой только в случае доступности мастера RID. Мастер RID при миграции объекта предотвращает создание двух объектов в разных доменах с одним и тем же идентификатором. По умолчанию, роль мастера RID получает первый контроллер домена, установленный в лесе. Вы можете в любое время переместить эту роль при помощи оснастки <strong>Active Directory - пользователи и компьютеры</strong> или средствами утилиты <strong>Ntdsutil.exe</strong>. Мастер RID идентифицируется значением атрибута fSMORoleOwner в объекте класса rIDManager в разделе Domain.</p><h2>Роль эмулятора PDC</h2><br/><p><strong>Эмулятор PDC</strong> (главного контроллера домена - Primary Domain Controller) выполняет функции основного контроллера домена для обеспечения совместимости с операционными системами ниже <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000</a>. Во времена контроллеров домена Windows NT 4.0 изменения в каталог могли вносить лишь главные контроллера домена PDC. Прежние инструменты, клиенты и утилиты, поддерживающие Windows NT 4.0, не рассчитаны на то, что все контроллеры домена Active Directory могут выполнять запись в каталог, и поэтому требуют подключения к PDC. Контроллер домена с ролью PDC-эмулятора регистрирует себя как главный контроллер домена PRC, чтобы низкоуровневые приложения могли локализовать пишущий контроллер домена. Несмотря на то, что в наше время сервера и клиентские компьютеры с операционными системами ниже Windows 2000 встретить практически невозможно, эмулятор PDC все еще остается важнейшей ролью мастеров операций. Эмулятор PDC выполняет следующие важные функции:</p><ul><li><strong>Участие в репликации обновлений паролей домена</strong>. При изменении или сбросе пароля пользователя, контроллер домена, вносящий изменения, реплицирует это изменение на PDC-эмулятор посредством срочной репликации. Эта репликация гарантирует, что контролеры домена быстро узнают измененный пароль. В том случае, если пользователь пытается войти в систему сразу после изменения пароля, контроллер домена, отвечающий на этот запрос, может еще не знать новый пароль. Перед тем как отклонить попытку входа, этот контроллер домена направляет запрос проверки подлинности на PDC-эмулятор, который проверяет корректность нового пароля и указывает контроллеру домена принять запрос входа. Это означает, что каждый раз при вводе пользователем неправильного пароля проверка подлинности направляется на PDC-эмулятор для получения окончательного заключения;</li><li><strong>Управление обновлениями групповой политики в домене</strong>. Как вы знаете, для управления большинства настройками в конфигурации компьютеров и пользователей вашей организации применяются групповые политики. В том случае, если объект групповой политики модифицируется на двух контроллерах домена приблизительно в одинаковое время, то впоследствии, могут возникать конфликты между двумя версиями, которые не разрешаются при репликации объектов групповых политик. Во избежание таких конфликтов, PDC-эмулятор действует следующим образом: при открытии объекта групповой политики, оснастка редактора управления групповой политики привязывается к контроллеру домена, выполняющего роль PDC и все изменения объектов GPO по умолчанию вносятся на PDC-эмулятор;</li><li><strong>Выполнение функции центрального браузера домена</strong>. Для обнаружения сетевых ресурсов клиенты используют Active Directory. При открытии окна <strong>Сеть</strong> в операционной системе отображается список рабочих групп и доменов. После того как пользователь откроет указанную рабочую группу или домен он сможет увидеть список компьютеров. Эти списки генерируются посредством службы обозревателя, и в каждом сетевом сегменте ведущий обозреватель создает список просмотра с рабочими группами, доменами и серверами данного сегмента. После чего центральный обозреватель объединяет списки всех ведущих обозревателей для того, чтобы клиентские машины могли просмотреть весь список просмотра;</li><li><strong>Обеспечение главного источника времени домена</strong>. Так как службы Active Directory, Kerberos, DFS-R и служба репликации файлов FRS используют штампы времени, во всех системах домена необходима синхронизация времени. PDC-эмулятор в корневом домене леса служит ведущим источником времени всего леса. Остальные контроллеры домена синхронизируют время с PDC-эмулятором, а клиентские компьютеры - со своими контроллерами доменов. Гарантию за соответствие времени несет иерархическая служба синхронизации, которая реализована в службе Win32Time.</li></ul><p>По умолчанию, роль мастера эмулятора PDC получает первый контроллер домена, установленный в лесе. Вы можете в любое время переместить эту роль при помощи оснастки <strong>Active Directory - пользователи и компьютеры</strong> или средствами утилиты <strong>Ntdsutil.exe</strong>. Мастер эмулятора PDC идентифицируется значением атрибута fSMORoleOwner в объекте класса rIDManager в корневом объекте раздела Domain.</p><h2>Роль мастера инфраструктуры</h2><br/><p>В организациях, основанных на множестве доменов, объекты в одних доменах часто ссылаются на объекты в других.<strong>Мастер инфраструктуры</strong> подобен устройству, которое отслеживает членов группы из доменов. Мастер инфраструктуры отвечает за обновление ссылок группа - пользователь между доменами, тем самым обеспечивая отражение изменений имен объектов в информации о членствах в группах, локализованных в домене. Мастер инфраструктуры поддерживает обновляемый список таких ссылок, а затем реплицирует эту информацию на все контроллеры в домене. В том случае, если мастер инфраструктуры недоступен, ссылки группа - пользователь между доменами не будут обновляться. Периодически мастер инфраструктуры сканирует учетные записи домена и проверяет членство в группах. Если учетная запись пользователя перемещается на новый домен, мастер инфраструктуры идентифицирует новый домен учетной записи пользователя и соответствующим образом обновляет группы.</p><p>Стоит обратить внимание на то, что роль мастера инфраструктуры не должна выполняться контролером домена, который является сервером глобального каталога. В противном случае мастер инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылок на объекты, которые не хранит. Это обусловливается тем, что сервер глобального каталога хранит частичные реплики всех объектов в лесу. В результате междоменные объектные ссылки в этом домене обновляться не будут, а в журнале событий данного контроллера домена появится соответствующее предупреждение. По умолчанию, роль мастера инфраструктуры получает первый контроллер домена, установленный в лесе. Вы можете в любое время переместить эту роль при помощи оснастки <strong>Active Directory - пользователи и компьютеры</strong> или средствами утилиты <strong>Ntdsutil.exe</strong>. Мастер инфраструктуры идентифицируется значением атрибута fSMORoleOwner в контейнере Infrastructure в разделе Domain.</p><h2>Размещение и перемещение ролей мастеров операций</h2><br/><p>Как уже было указано выше, при создании первого контроллера домена корневого домена леса, на этот контроллер домена добавляются все пять ролей мастеров операций. По мере добавления контроллеров домена вы можете переносить роли хозяев операций на другие контроллеры домена для балансировки нагрузки среди контроллеров домена и оптимизации размещения отдельных мастеров операций. Для того чтобы определиться с размещением ролей мастеров операций, вам следует руководствоваться следующими рекомендациями:</p><ul><li><strong>Размещайте роли мастера RID и PDC-эмулятора на одном контроллере домена</strong>. Совместное размещение этих ролей мастеров операций обусловлено соображениями балансировки нагрузки. Поскольку эти роли прямые партнеры по репликации, разместив эти роли на отдельных контроллерах домена, вам придется для этих двух систем устанавливать быстрое подключение и в Active Directory для них создавать явные объекты. Помимо этого, если у вас в организации присутствуют сервера, играющие роли резервных мастеров операций, на таких серверах эти роли также обязаны быть прямыми партнерами;</li><li><strong>Размещайте роли мастеров схемы и именования доменов на одном контроллере домена</strong>. Как правило, роли мастера схемы и мастера именования доменов рекомендуется размещать на одном контроллере домена, который служит сервером глобального каталога. Роль мастера именования доменов, должна одновременно являться сервером глобального каталога, потому что при добавлении нового домена, мастер должен гарантировать, что в лесу нет объекта с тем же именем, что и у нового добавляемого домена. В связи с тем, что эти роли используются реже всего, вы должны проследить за тем, что контроллер домена, который ими управляет, максимально защищен;</li><li><strong>Роль мастера инфраструктуры должна размещаться на контроллере домена, который не служит сервером глобального каталога</strong>. Обычно мастер инфраструктуры должен разворачиваться на контроллере домена, который не служит сервером глобального каталога, но имеет объект прямого подключения к одному из глобальных каталогов в лесу. Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Но если лес состоит из единственного домена, то роль мастера бездействует и его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.</li></ul><p>Чаще всего перенос ролей мастеров операций осуществляется по мере добавления контроллеров домена для распределения нагрузки, исключения возможных точек сбоя и повышения производительности. Также целесообразно перемещать роли мастеров операций в том случае, если вы планируете отключать контроллер домена от сети, который выполняет роль мастера операций. Также, если вы выводите контроллер домена, выполняющий роль мастера операций из эксплуатации, мастер установки попробует перенести роли в автоматическом режиме. При переносе роли мастера операций текущий и новый мастер отключаются от сети. Переносится маркер и новый мастер операций немедленно выполняет перенесенную роль, а прежний мастер моментально перестает ее выполнять. Переносится роль мастера операций обычно следующим методом: открывается административный инструмент, определяющий текущего мастера, после этого нужно подключиться к контроллеру домена, на который будет перенесена роль и затем роль переносится на контроллер домена, к которому вы подключены.</p> http://www.microsoft.com/rus/business/smb/blog/14/ Microsoft for Business <p>Раз уж мы говорим о виртуализации - наверняка у кого-то возникает вполне резонный вопрос: а для чего же это вообще нужно? Оговорюсь, что далее речь пойдет о виртуализации серверов. О виртуализации представлений и приложений - возможно, напишу чуть позже.</p><p>Я, признаться честно, являюсь технарем до мозга костей, и модные аббревиатуры вроде TCO, ROI, etc., которыми очень любят оперировать господа маркетологи - для меня являются китайской грамотой. Соответственно - буду писать о том, что я вижу как технарь.</p><p>Наверняка у многих сисадминов в хозяйстве имеется несколько серверов. И обычно это оправданно: многие задачи рекомендуется разносить по разным серверам. К примеру, Microsoft настоятельно не рекомендует совмещать контроллер домена Active Directory и интернет-шлюз на одном физическом сервере. Это создает серьезную угрозу безопасности: в случае атаки на вашу сеть каких-нибудь хакеров или вирусов - первым примет на себя удар, как Брестская Крепость, интернет-шлюз. В случае, если на нем размещался еще и контроллер домена - существует вероятность, что базы AD будут повреждены, либо, что еще хуже - окажутся в руках хакеров. В первом случае понадобится тратить время на восстановление из бэкапов, во втором - очень высокая вероятность дальнейших и более продуманных атак, с использованием логинов и паролей действующих пользователей сети. Ну или просто попадание e-mail адресов пользователей компании в базы спамеров - тоже приятного мало. Одна старая пословица говорит: Не клади все яйца в одну корзину.</p><p>Соответственно, многие системные администраторы ставят контроллер домена на один физический сервер, а интернет-шлюз - на другой. И это, в принципе - правильно: если гипотетические хакеры атакуют интернет-шлюз, и атака будет успешной - вероятность того, что они проберутся дальше шлюза и получат доступ к другим серверам - много меньше.</p><p>Но тут возникает новая проблема: каждый отдельный сервер - стоит денег, причем не малых (если речь идет о брэндовых серверах). Каждый отдельный сервер потребляет электроэнергию, и занимает место на столе либо в стойке. Возможно, кому-то это покажется не особо актуальным, тем не менее - это является важным преимуществом. Особенно, если сервера размещаются в стороннем датацентре, где взымают плату за занимаемые юниты в стойках и энергопотребление строго ограничивается. К тому же, в европейских странах существует некий налог, который напрямую зависит от объемов электроэнергии, потребляемых компанией. Не помню, как этот налог называется - что-то связанное с экологией и выбросом CO2.</p><p>Кроме этого, каждое из приложений редко потребляет много системных ресурсов: те же контроллеры доменов и интернет-шлюзы - на них редко загрузка процессора превышает 10%. Использование под каждую такую задачу отдельного сервера выглядит нерационально. Совмещать все на одном сервере - как мы уже выяснили, не правильно с точки зрения безопасности. Где же золотая середина? Как же сделать, чтобы и волки были сыты, и овцы целы (и пастуху - вечная память! <img src=http://itband.ru/wp-includes/images/smilies/icon_smile.gif alt=:)/> ) Ответ дает как раз технология виртуализации.</p><p>Что же такое виртуализация? Виртуализация (а именно - виртуализация серверов) - это технология программной эмуляции аппаратного обеспечения компьютера. Причем, на одной физической машине может быть запущено несколько таких виртуальных компьютеров. На такие виртуальные машины можно ставить операционную систему и приложения, и работать с ними, как с отдельными физическими машинами. Каждая виртуальная машина использует для своей работы какую-то часть аппаратных ресурсов физической машины. Причем, как правило, объем аппаратных ресурсов, выдаваемых отдельным виртуальным машинам можно регулировать - как жестко (статически), так и динамически. Таким образом, аппаратные ресурсы используются намного более рационально.</p><p>Простой пример: если у нас есть два приложения, которым для работы необходимо 128Мб оперативной памяти, и которые нельзя устанавливать на один физический сервер, можно:</p><ul><li>1) Купить два сервера с 128M RAM;</li><li>2) Купить один сервер с 256M RAM (плюс еще какое-то количество про запас и для запуска хостовой ОС) и запустить оба приложения в отдельных виртуальных машинах.</li></ul><p>Как видно, во втором случае ресурсы сервера (в частности, CPU) используется более рационально, и стоимость решения гораздо ниже, т.к. один сервер с чуть большим объемом RAM всегда дешевле двух серверов.</p><p>Может показаться, что развертывание нескольких виртуальных серверов на одном физическом - это и есть класть все яйца в одну корзину, но я все же замечу, что это верно лишь отчасти. Да, при таком развертывании мы все же получаем единую точку отказа в виде одного физического сервера, но тем не менее, все виртуальные машины на физическом уровне изолированы друг от друга и от хостовой ОС. Это проистекает из самой идеологии виртуализации. Соответственно, при, поражении, к примеру, вирусом, одной из виртуальных машин - все остальные машины не будут затронуты его деструктивными действиями, чего трудно избежать при совмещении разных задач на одном сервере, без виртуализации.</p><p>Если же необходимо избежать единой точки отказа - можно купить, к примеру, два сервера и развернуть кластер. В этом случае, два физических сервера будут действовать как единая платформа для виртуализации. Если виртуальных машин, к примеру, 5 - это все равно выгоднее 5и отдельных серверов. А при отказе одного из серверов в кластере - виртуальные машины продолжат работу на другом - вот и все. Пользователи этого скорее всего не заметят. Ну, возможно, прервется у них работа на несколько секунд, это не так критично, как отказ на несколько часов.</p><p>Еще важный момент: виртуализация (если речь идет о решении от Microsoft) поможет сэкономить на лицензиях. К примеру, лицензия на Windows Server 2008 Standard позволяет бесплатно запускать внутри одну виртуальную машину, Enterprise - до 4, а Datacenter - вообще неограниченно (в пределах одного физического хоста).</p><p>Системные администраторы, кстати говоря, оценят и другие удобства виртуализации: быстрота развертывания виртуальных машин и простота резервного копирования.</p><p>Как известно, развертывание нового сервера занимает определенное время. Это - установка ОС, установка драйверов, установка приложений и т.п. Да, конечно, все параметры установки ОС можно задать в файле ответов автоматической установки, драйвера можно интегрировать в дистрибутив, приложения установить, например, через RunOnce, но все равно установка занимает время. Даже если создать полный образ системы - во-первых, его развертывание все равно займет порядка 10-15 минут просто из-за его объема и скорости чтения из сети или с DVD-ROM, во-вторых - для создания такого образа, как правило, необходимо прибегать к помощи стороннего ПО. С виртуальными же машинами все намного проще: можно создавать абсолютно идентичные клоны виртуальной машины за пару кликов мышью, и процесс займет порядка нескольких минут - ведь скорость работы дисковой подсистемы сервера намного выше, чем пропускная способность сети или скорость чтения DVD-ROM.</p><p>Приведу пример из собственного опыта. Контора, где я однажды работал, занималась, помимо прочего, и разработкой ПО. Естественно, разработчикам было необходимо где-то тестировать и отлаживать свои программы. Как нельзя лучше для этого подходили виртуальные машины. Благодаря клонированию - удалось создать эталонный образ, в результате которого развертывание новой виртуальной машины занимало порядка 3 минут. А у нас было целых два сервера, на каждом из которых работало примерно по 20 виртуальных машин. К слову сказать - использовался VMWare ESX Server, было просто два отдельных сервера - без VMotion и кластеров. Правда, для управления использовался Virtual Center.</p><p>Еще одна головная боль любого сисадмина - резервные копии. Как утверждает пословица: Есть два типа сисадминов: те, которые еще не делают бэкапы, и те, которые уже делают. Резервное копирование - на первый взгляд, возможно, кажется бесполезной процедурой, но как только жареный петух куда-нить клюнет - тот, кто не делал бэкапы - начинает рвать на себе волосы, кусать локти и развертывать все заново. Если на сервере уже были какие-то важные данные - это то еще удовольствие. А если там была, например, база данных, содержащая бухгалтерию предприятия за последние 10 лет - то это просто смерти подобно. Не говоря уже, опять же, о простое - который может обернуться серьезными убытками. Ну не поймут клиенты, если им будут говорить Подождите пожалуйста, у нас сервер не работает! - они просто пойдут и купят у кого-то другого. Директор, естественно, админа за такое дело по головке не погладит.</p><p>Даже если делается бэкап, то не всегда можно дать 100% гарантию, что из него можно будет восстановить ОС на голом железе, и она будет работать без ошибок. Особенно - если конфигурация аппаратного обеспечения будет немного отличаться от предыдущей. Близкую к 100%-ной гарантию дают системы резервного копирования, имеющие функцию Bare Metal Restore - например, Symantec BackupExec, CA ArcServe, IBM Tivoli Storage Manager, HP Data Protector. Но само это ПО стоит вполне приличных денег, и за функцию Bare Metal Restore придется заплатить отдельно: для ее использования, как правило, необходима отдельная лицензия.</p><p>С виртуальными же машинами намного проще: все железо там стандартное, ибо эмулируемое, и для полного бэкапа достаточно просто скопировать один или несколько файлов. Всё. Для восстановления достаточно просто скопировать файл(ы) на новый сервер, где уже установлена хостовая ОС со средой виртуализации, и подцепить их - и виртуальная машина будет работать как ни в чем не бывало.</p><p>Еще необходимо упомянуть так называемые моментальные снимки (snapshots): это - грубо говоря - бэкап виртуальной машины, хранящийся внутри нее самой. При необходимости можно просто откатить виртуалку на момент снятия моментального снимка - и она будет работать, как будто с того момента ничего не изменилось. Причем, у одной виртуальной машины может быть много таких snapshot'ов, и они могут образовывать древовидную структуру. Это позволяет откатывать систему ровно к необходимому моменту. Такой функцией могут пользоваться, к примеру, системные администраторы, делая snapshot до и после каких-либо важных изменений, и, если понадобиться, к примеру - откатиться до момента изменений. Или еще раньше. А потом, если надо - позже. И не нужно развертывать систему с нуля и снова повторять все свои действия. Наши разработчики, кстати, по достоинству оценили такую возможность: раньше, когда они использовали VirtualPC на своих рабочих станциях - делать такие откаты было затруднительно, часто приходилось создавать машину заново с эталонного образа.</p><p>Итак, подводя итог, вкратце - почему все же виртуализация серверов - это гуд:</p><ul><li>Рациональное использование аппаратных ресурсов серверов;</li><li>Экономия денег на покупке новых серверов, экономия электроэнергии и физического пространства;</li><li>Экономия лицензий на виртуальные ОС (если речь о Microsoft);</li><li>Простота администрирования: легкость перемещения виртуальных машин с одного физического сервера на другой, быстрота развертывания новой машины из эталонного образа, простота создания резервной копии и восстановления из нее, использование моментальных снимков.</li></ul><p>Собственно, на этом хотелось бы завершить данную статью.</p> http://www.microsoft.com/rus/business/smb/blog/13/ Microsoft for Business <h2>Введение</h2><br/><p>К одному из ключевых моментов концепции доменных служб Active Directory можно отнести обеспечение авторизации принципалов безопасности для получения доступа к имеющимся сетевым ресурсам. Несмотря на то, что весь доступ к сетевым ресурсам основан на учетных записях отдельных пользователей, компьютеров или служб, со временем они могут меняться. В средних и крупных компаниях управление существующими пользователями требует большой административной нагрузки. Стоит учесть, что пользователи, выполняющие в компании конкретную роль, могут меняться, но сама роль должна оставаться без каких-либо изменений. Если назначать доступ к сетевым ресурсами индивидуально для каждого отдельного пользователя, то списки контроля доступа ACL вскоре станут неуправляемыми и при изменении отдела пользователем вам нужно будет учесть все возможные разрешения доступа. Так как этот процесс может легко выйти из-под контроля, задачи, связанные с управлением должны быть привязаны к объектам групп. Чаще всего группы используются для идентификации ролей пользователей и компьютеров, фильтрации групповой политики, назначения уникальных политик паролей, прав, разрешений доступа, приложений электронной почты и многое другое. Сами по себе, группы представляют собой принципалы безопасности с уникальными SID, которые могут содержать в атрибуте member такие принципалы безопасности, как пользователи, компьютеры, группы и контакты.</p><p>Перед тем как создавать группы следует знать, какие существуют разновидности групп. Так как структура доменных служб предназначена для поддержки сложных и крупных распределительных сред, Active Directory включает в себя два типа групп домена с тремя областями действия в каждой из них, а также локальную группу безопасности. Типы групп, а также их область действия подробно рассмотрены в следующих подразделах.</p><h2>Типы групп</h2><br/><p>В доменных службах Active Directory <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> можно отметить два типа групп: безопасности и распространения. При создании новой группы в диалоговом окне <strong>Новый объект - группа</strong> оснастки <strong>Active Directory - пользователи и компьютеры</strong> вы можете выбрать одну из этих двух групп. Группы безопасности относятся к принципалам безопасности с SID-идентификаторами. В связи с этим данный тип группы считается самым распространенным и группы такого типа можно использовать для управления безопасностью и назначения разрешений доступа к сетевым ресурсам в списках ACL. В общем, группу безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью.</p><p>В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности и не содержит SID-идентификатор. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft <a href=http://technet.microsoft.com/ru-ru/exchange/default.aspx target=_blank title=Узнайте больше об Exchange Server>Exchange Server</a> в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.</p><p>Ввиду того, что именно группы безопасности вы можете использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000</a> вы можете преобразовывать группы безопасности в группы распространения и наоборот.</p><h2>Область действия групп</h2><br/><p>Область действия группы определяет диапазон, в котором применяется группа внутри домена. Помимо того, что группы могут содержать пользователей и компьютеры, они могут быть членами других групп, ссылаться на списки ACL, фильтры объектов и групповых политик и пр. Граница диапазона области действия группы может определяться заданием режима работы домена. К основным характеристикам области действия групп можно отнести членство (определение принципалов безопасности, которые может содержать группа), репликация (определение области репликации группы), а также доступность (определение местонахождения группы, возможности включения этой группы в членство другой, добавление группы в список ACL). Существует четыре области действия групп: локальная, локальная в домене, глобальная и универсальная. Рассмотрим подробнее каждую из них:</p><ul><li><strong>Локальная группа в домене</strong>. Группы с областью локальные группы в домене предназначены для управления разрешениями доступа к ресурсам и функционируют в том случае, если домен работает на функциональном уровне не ниже Windows 2000. В том случае, если домен работает на уровне Windows NT или в смешанном уровне, то эти группы будут использоваться лишь как локальные группы. Такая группа определяется в контексте именования домена. Локальную группу в домене можно добавлять в списки ACL любого ресурса на любом рядовом компьютере домена. В локальную группу в домене могут входить пользователи, компьютеры, глобальные и локальные группы в текущем домене, любом другом домене леса, а также универсальные группы в любом домене леса. Другими словами, репликация и доступность такой группы позволяет ее использовать в пределах всего домена. В связи с этим, локальные группы в домене обычно используют для предоставления правил доступа во всем домене, а также для членов доверительных доменов. Чаще всего, с локальными группами в домене связаны сценарии, подобные следующему: вам нужно предоставить доступ к папке с секретной документацией восьми пользователям из разных отделов. Вы должны учесть, что кто-либо из этих пользователей может перейти в другой отдел или уволиться и позже вам придется изменять разрешения доступа на принтере. А если доступ нужно предоставить не восьми, а восьмидесяти пользователям из разных подразделений и доменов? Поэтому, чтобы упростить такую рутинную работу вы можете создать группу с локальной областью безопасности в домене и разрешить доступ к папке именно этой группе. После этого вы можете добавлять, любых пользователей из этой группы и все пользователи, входящие в состав этой группы автоматически получат доступ к папке;</li><li><strong>Глобальная группа</strong>. Основной целью глобальных групп безопасности является определение коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования. Чаще всего, членами таких групп выступают пользователи и компьютеры. Группы безопасности удобно использовать для фильтрации области действия групповых политик, так как область действия таких групп не реплицируется за пределы своего домена, при этом не вызывая дополнительного трафика к глобальному каталогу. Глобальная группа может содержать пользователей, компьютеры и другие глобальные группы только из одного домена. Несмотря на это, глобальные группы могут быть членами любых универсальных и локальных групп как в своем домене, так и доверяющем домене. Помимо этого, глобальные группы можно добавлять в списки ACL в домене, лесу и в доверяющем домене, что делает управление группами более простым и рациональным;</li><li><strong>Универсальная группа</strong>. Универсальные группы целесообразно задействовать только в лесах, состоящих из множества доменов для их объединения. Эти группы позволяют управлять ресурсами, распределенными на нескольких доменах, поэтому универсальные группы считаются самыми гибкими. Универсальные группы определяются в одном домене, но реплицируются в глобальный каталог. Например, для того чтобы получить пользователям из домена В доступ к ресурсам, расположенным в домене А, добавьте учетные записи пользователей домена В в глобальные группы безопасности, а затем эти группы вложите в универсальную группу. Универсальная группа может быть членом другой универсальной или локальной группы домена в лесу, а также может использоваться для управления ресурсами;</li><li><strong>Локальная группа</strong>. Локальная группа считается самой примитивной, так как она доступна только на одном компьютере. Такая группа создается в базе данных диспетчера безопасности учетных записей рядового компьютера и поэтому в домене управление локальными группами не нужно. В списках ACL можно использовать такие группы только на локальном компьютере. В другие системы такие группы не реплицируются, но эта группа содержит пользователей, компьютеры, глобальные и локальные группы в домене в своем домене, пользователей, компьютеры и глобальные и универсальные группы в любом домене леса.</li></ul><p>В некоторых случаях перед вами может встать необходимость преобразования одной области действия в другую. Например, в связи с тем, что по умолчанию при создании группы фокус установлен на глобальной группе безопасности, по невнимательности можно оставить все без изменений и создать группу. После создания группы, ее область действия можно изменить на вкладке <strong>Общие</strong> диалогового окна свойств группы, одним из следующих доступных способов:</p><ul><li>Глобальную группу в универсальную в том случае, если изменяемая группа не является членом другой глобальной группы;</li><li>Локальную группу в домене в универсальную в том случае, если эта группа не содержит другую локальную группу в домене в качестве члена;</li><li>Универсальную группу в глобальную в том случае, если эта группа не содержит в качестве члена другую универсальную группу;</li><li>Универсальную группу в локальную группу в домене.</li></ul><p>Как вы заметили, глобальную группу просто так невозможно модифицировать в локальную группу в домене. Несмотря на это, вы можете сначала глобальную группу преобразовать в универсальную, а затем уже получившуюся универсальную группу - в локальную группу в домене.</p><p>На первый взгляд все эти области групп могут показаться одинаковыми, но для наилучшего понимания их использования можно рассмотреть простой пример. Допустим, есть два домена. На первом домене (домен <strong>А</strong>) есть папка, для которой должен быть предоставлен доступ сотрудникам отдела продаж обоих доменов. В домене <strong>А</strong>, доступ к этой папке могут получить любые пользователи, но для более рационального использования пользователей, которым должен предоставляться доступ можно поместить их в глобальную группу безопасности. Но глобальная группа Продажи домена <strong>В</strong> не может получать доступ к папке в домене <strong>А</strong>. Поэтому глобальную группу Продажи из домена В нужно включить в универсальную группу, скажем Доступ к ресурсам домена А. Затем, в домене <strong>А</strong> нужно создать локальную группу в домене (например, Доступ к секретным материалам), так как универсальная группа не может быть членом глобальной группы. Теперь нужно включить в группу Доступ к секретным материалам глобальную группу Продажи из домена <strong>А</strong> и универсальную группу Доступ к ресурсам домена А домена <strong>В</strong>. Только после этого, члены групп Продажи из обоих доменов будут иметь разрешения на использование секретных документов, расположенных в домене <strong>А</strong>.</p><p>Для того, чтобы запомнить все эти связи - вы можете просто запомнить интересный фейковый термин: AGUDLP, что расшифровывается как Account - Global - Universal - Domain Local - Permissions (Учетная запись - Глобальная - Универсальная - Локальная в домене - Доступ), то есть запомнив эту аббревиатуру вы не ошибетесь при назначении доступа к любым ресурсам.</p><h2>Создание групп при помощи оснастки Active Directory - пользователи и компьютеры</h2><br/><p>Так как и учетные записи пользователей, создавать группы проще всего, используя функционал оснастки <strong>Active Directory - пользователи и компьютеры</strong>. Этот способ обладает графическим интерфейсом, который позволяет корректно создать группу любого типа и с любой областью действия даже начинающим администраторам, которые открыли данную оснастку впервые. Для того чтобы создать группу при помощи данной оснастки, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong>. Для этого вам нужно открыть панель управления, в ней открыть раздел <strong>Система и безопасность</strong>, затем<strong>Администрирование</strong> и в появившемся окне открыть оснастку <strong>Active Directory - пользователи и компьютеры</strong>. Также вы можете воспользоваться комбинацией клавиш <img src=http://oszone.net/figs/u/72715/101006062114/winkey.png alt=* width=20 height=19/>+R для открытия диалога <strong>Выполнить</strong> и в диалоговом окне <strong>Выполнить</strong>, в поле<strong>Открыть</strong> ввести <em>dsa.msc</em>, а затем нажать на кнопку <strong>ОК</strong>;</li><li>В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из<a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>, а затем <strong>Группа</strong>, как показано на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/101006062114/adgroup-01.JPG alt=* width=480 height=566/></p><p><strong>Рис. 1. Оснастки Active Directory - пользователи и компьютеры и создание новой группы</strong></p><li>В отобразившемся диалоговом окне <strong>Новый объект - Группа</strong>, в поле <strong>Имя группы</strong>введите понятное вам название группы, которое будет отображаться в области сведений оснастки. По умолчанию веденное имя также вводится как имя пред-Windows 2000 новой группы. Желательно, чтобы имена в обоих полях были идентичными. В группе <strong>Тип группы</strong>выберите тип группы, о котором говорилось в предыдущем разделе, а в группе <strong>Область действия группы</strong>, соответственно, область действия группы. По умолчанию переключатели установлены так, что будет создана глобальная группа безопасности. После того как вся информация будет задана, нажмите на кнопку <strong>ОК</strong>. Диалоговое окно <strong>Новый объект - Группа</strong> отображен ниже:</li><br/><p><img src=http://oszone.net/figs/u/72715/101006062114/adgroup-02.jpg alt=* width=441 height=371/></p><div><p><strong>Рис. 2. Диалоговое окно Новый объект - Группа</strong></p></div></ol> http://www.microsoft.com/rus/business/smb/blog/12/ Microsoft for Business <h2>Введение</h2><br/><p>После того как вы определили количество лесов в своей организации, вам нужно спроектировать структуру доменов в каждом лесу. Доменом называется административная единица, внутри которой совместно используются определенные характеристики и возможности. Также домен является областью действия административных политик, причем, политики, конфигурируемые в одном домене, влияют на все учетные записи, которые в нем содержатся и не оказывают влияние на учетные записи в других доменах. Изначально домены используются для разделения леса на небольшие компоненты в целях администрирования и репликации. За создание проектов домена обычно отвечает владелец леса. Задача проектирования доменов включает в себя обеспечения наиболее эффективной работы доменных служб, имеющиеся возможности сетевой инфраструктуры с последующим созданием структуры доменов, а также изучение требований к репликации. Домены следует проектировать с целью повышения эффективности топологии репликации при умеренной пропускной способности сети, причем необходимо определить требования модели домена, требуемое количество доменов, нужно ли обновлять существующие или разворачивать дополнительные домены, спроектировать корневой домен леса, доменные деревья, а также модели доверительных отношений доменов. Обо всех этих моментах вы узнаете из этой статьи.</p><p>Прежде всего, до определения модели и количества доменов вам нужно учесть границы безопасности, администрирования и репликации, которые помогут определить наилучший вариант разделения леса на домены.</p><ul> <li><strong>Границы безопасности</strong>. При проектировании структуры доменов, границы политики безопасности имеют одно из важнейших значений. Некоторые политики безопасности, используемые на уровне домена, применяются ко всем учетным записям пользователей в этом домене. К таким политикам можно отнести политики паролей, политики блокировки учетных записей, политики Kerberos и многое другое. При сборе требований безопасности на уровне домена, вы должны учесть все возможные требования безопасности, которые будут применяться для всех групп вашей организации. В некоторых отделах группы пользователей могут нуждаться в более защищенных паролях к учетным записям, и поэтому вам приходится создавать подробные политики паролей, но когда количество таких пользователей увеличится, на поддержание безопасности таких групп вам понадобятся затратить большие административные усилия. В идеальном случае, для любой группы, которая имеет уникальные требования безопасности, рекомендуется разворачивать отдельный домен;</li><li><strong>Административные границы</strong>. Сбор административных сведений позволит вам понять, каким образом будет реализовываться управление доменами и как можно эффективно разработать доменную структуру. Стоит учесть, что границы доменов также являются границами доступа к ресурсам. Изначально пользователи из одного домена не получают доступ к ресурсам в другом домене, если у них не отконфигурированы доверительные связи. На этом этапе вам нужно определить команды обслуживающего персонала, которые будут ответственны за управление доменными службами в вашей организации. Если какая-либо группа требует у вас административных привилегий, то для такой группы вам нужно будет создать новый домен;</li><li><strong>Границы репликации</strong>. Границы домена являются границами репликации каталогов домена и информации, распложенной в папке SYSVOL на всех контролерах домена. Прежде всего, вам нужно определиться с расположением, в котором будут находиться пользователи, после чего, для каждого расположения определить количество пользователей и бизнес-единиц, к которым принадлежат пользователи. При проектировании структуры доменов важно учитывать доступную пропускную способность, использование сети и сведений о соединениях для каждого расположения вашей организации. В Active Directory предполагается, что на предприятии используется два типа сетей: высокоскоростные и более медленные. В том случае, если все расположения объединены в высокоскоростные сети, которые имеют широкую пропускную способность, дополнительная пропускная способность сети для репликации не потребуется, это означает, что будет достаточно только одного домена. Но если в вашей организации есть несколько филиалов, которые подключаются к центральному узлу с помощью ссылок WAN и могут оказаться перегруженными, дорогостоящими и нестабильными, целесообразно в таких случаях разворачивать дополнительные домены. Стоит обратить внимание на то, что репликация каталогов домена выполняется только в пределах своего домена.</li></ul><h2>Определение модели домена</h2><br/><p>После определения основных требований нужно выбрать модель домена Active Directory, которая будет использоваться в вашей организации. Для того чтобы определиться с выбором, прежде всего, следует разобраться с существующими моделями доменов, которые предоставляет компания Microsoft. В принципе, выбор можно сделать практически сразу, так как существует всего две модели доменов. Еще на этапе проектирования доменов лучше всего свести к минимуму количество развертываемых в лесу доменов, что позволит вам снизить сложность развертывания и, тем самым, снизить свои расходы. Рассмотрим каждую модель:</p><ul> <li><strong>Однодоменная модель</strong>. Модель из одного домена является самой простой схемой доменов. В такой схеме любой контроллер домена может проверить подлинность любого контроллера домена в лесу, все контроллеры домена могут быть серверами глобального каталога, а также все сведения реплицируются на все контроллеры домена. Так как модель состоит из леса с одним доменом, этот домен является корневым доменом леса. Стоит отметить, что с точки зрения управления и обслуживания такая схема считается самой дешевой, но в том случае, если контроллеры доменов являются децентрализованными и находятся в различных географических расположениях, при репликации возникает интенсивный расход сетевого трафика. Если в организации много пользователей, развертывание нескольких доменов позволит разбить данные на части и лучше управлять интенсивностью трафика репликации, проходящего через определенное сетевое подключение. При возникновении острой необходимости, вы всегда можете развернуть дополнительные региональные домены, тем самым, изменив существующую модель на модель региональных доменов;</li><li><strong>Модель региональных доменов</strong>. Региональная модель, по сути, состоит из одного корневого домена леса и, по крайней мере, одного регионального домена, расположенного в отличном от корневого географическом расположении. Так как данные внутри домена реплицируются на все его контроллеры домена, а пользователи между центральным офисом и региональными объединяются посредством глобальной сети WAN, для уменьшения интенсивности трафика через подключение WAN, целесообразно разворачивать региональные домены. Такая модель позволяет поддерживать наиболее стабильную среду. Во время проектирования доменов вам предстоит определить, какой домен будет считаться корневым доменом леса, и сколько нужно развернуть дополнительных доменов для удовлетворения потребностей репликации.</li></ul><h2>Определение количества доменов</h2><br/><p>После того как будет определена доменная модель перед вами встанет задача, связанная с определением количества доменов в вашей организации, которые могут изменяться, в зависимости от выбранной вами модели доменов. Несмотря на то, что большинство организаций развертывают только один лес, количество доменов, внутри этого леса может быть довольно большим. Любой лес всегда начинается с одного домена. Максимальное количество пользователей, которое может содержать однодоменный лес, зависит от самого медленного подключения, через которое будет осуществляться репликация между контроллерами доменов и от пропускной способности, которую планируется выделить доменным службам Active Directory. Очевидно, что проще всего управлять одним доменом, поскольку один домен предусматривает самое простое окружение для пользователей. Одним доменом вы можете ограничиться в том случае, если в вашем лесу содержится меньше пользователей, чем может в себя вместить домен. Несмотря на это, вы должны учесть тот факт, что в будущем общее количество пользователей может увеличиться. А в том случае, если общее количество пользователей превысит максимально допустимое значение для однодоменного леса, то для репликации необходимо зарезервировать большую долю пропускной способности, разделить организацию на региональные домены или увеличить скорость подключения. Тем не менее, существует ряд причин, на основании которых многие компании предпочитают разворачивать множество доменов. Если одного леса достаточно для размещения всех пользователей, необходимо определить их максимальное число, которое может поддерживать каждый регион, исходя из скорости самого медленного подключения.</p><p><strong>Один домен</strong> целесообразно использовать для небольших и средних организаций исходя из следующих соображений:</p><ul> <li>Хранилище данных доменных служб Active Directory может хранить более миллиона объектов, то есть множество объектов не является причиной создания множества доменов;</li><li>При реорганизации или переходе пользователей из одного подразделения в другое, их проще перемещать между организационными единицами в пределах одного домена;</li><li>Отдельным доменом проще управлять, так как для него задействован один набор администраторов и политик домена;</li><li>Администрировать нужно только один набор контроллеров домена;</li><li>При необходимости административной автономии используются организационные единицы и на его уровне решаются административные задачи;</li><li>При необходимости административной изоляции требуется развертывание множества лесов, так как домены не обеспечивают границы административной безопасности;</li><li>Среда одного домена - наиболее простой сценарий управления групповыми политиками;</li><li>Объекты групповой политики автоматически реплицируются на все контроллеры при наличии одного домена;</li><li>Один домен обеспечивает наиболее простую среду проектирования проверки подлинности доступа к ресурсам, при этом не нужно создавать доверительные отношения и назначать доступ к ресурсам для пользователей других доменов. Для назначения доступа к ресурсам имеет смысл использовать одну группу, не конфигурируя группы учетных записей и ресурсов;</li><li>В одном домене все контроллеры могут являться серверами глобального каталога, при этом не применяются ограничения мастера инфраструктуры.</li></ul><p>К преимуществам использования одного домена можно отнести то, что пользователей не нужно перемещать из одного домена в другой при переходе в другое место; не нужно обеспечивать дублирование групповых политик групп; аутоинтефикацию пользователя может производить любой контроллер домена; упрощается процесс администрирования и снижается уровень расходов.</p><p>К недостаткам использования одного домена относятся возможность громоздкости репликации и значительная нагрузка на сеть; отсутствие изоляции в средине леса; невозможности защиты данных или конфигурации служб от вмешательства администраторов; администратор может вносить изменение в конфигурацию, нарушающую работу служб каталогов домена.</p><p>Максимальное количество пользователей, содержащихся в домене, варьируется в зависимости от пропускной способности сети, предназначенной для репликации между доменами. Интенсивность трафика репликации существенно зависит от количеств изменений в каталоге за определенный промежуток времени. Например, если все контроллеры домена связаны сетью, скорость которой равняется 64 килобит в секунду с пяти процентной пропускной способностью для репликации доменных служб, то количество пользователей в домене составит 75 000, а при скорости 1500 килобит в секунду и пяти процентной пропускной способностью, максимальное количество пользователей составит 100 000.</p><p><strong>Региональные домены</strong> целесообразно использовать в том случае, если поместить всех пользователей в один домен невозможно. Наилучшим способом разделения организации на регионы, является ее разделение на основании структуры и структуры сети. Например, если за рубежом разделяют домены на регионы в том случае, если границами выступают границы континентов, то в нашей стране принято определять границы доменов в зависимости от регионального размещения областей или автономных республик. В любом случае рекомендуется сводить к минимуму количество региональных доменов. Несмотря на то, что в лесах может быть неопределённое количество доменов, рекомендуется делить свою организацию не более чем на 10 доменов. Их выбор предопределяется следующими составляющими:</p><ul> <li>Необходимость ограничения трафика репликации, так как папка SYSVOL и раздел каталогов домена, являющийся наиболее модифицированным разделом каталога, реплицируется на все контроллеры в одном и том же домене;</li><li>При использовании связей SMTP требуется конфигурировать все расположения компании как отдельные домены;</li><li>Ограничение доступа к ресурсам и административным полномочиям, согласно юридическим и бизнес-требованиям;</li><li>Необходимость различных политик паролей, так как для управления различными политиками паролей для нескольких групп пользователей требуется дополнительная административная нагрузка;</li><li>Необходимость разных пространственных имен для различных организационных единиц, что является важным параметром при слиянии компаний для поддержки уникальной идентичности.</li></ul><p>К преимуществам использования региональных доменов можно отнести то, что пользователей не нужно перемещать из одной организационной единицы в другую при изменении рабочего места; наличие простейшего обслуживания и администрирования; администраторы служб отделены от администраторов домена; наличия разделения трафика репликации; поддержка согласованных параметров групповой политики во всех доменах; получение доступа к ресурсам посредствам доверительных отношений.</p><p>К недостаткам использования региональных доменов относится незащищённость от безответственности администраторов при разграничении сферы ответственности владельца леса и владельца домена; усложнение процесса администрирования в связи с возрастанием количества доменов; увеличение затрат на администрирование; увеличение объема репликации на уровне леса.</p><p>Региональные домены изначально используются для снижения объема трафика репликации и подходят организациям с большим количеством географически разделенных пользователей. Некоторые организации предпочитают создавать дополнительные домены в соответствии со своими организационными единицами, что позволяет реализовать достаточную автономию организационных единиц с обеспечением отдельного именного пространства. Также вы можете создавать отдельные домены с целью разделения доменов учетных записей и ресурсов, что позволяет администраторам в домене ресурсов получать полный доступ ко всем единицам управления ресурсами без необходимости в доступе к системе управления учетными записями.</p><h2>Проектирование корневого домена леса</h2><br/><p>Как уже было указано ранее, первый домен, который развертывается в доменном лесу, называется корневым доменом леса и в течение всего жизненного цикла развертывания Active Directory данный домен остается корневым доменом леса. Но во время проектирования доменных служб Active Directory с множеством доменом, вам еще предстоит принять решение относительно развертывания выделенного корневого домена леса, который играет важнейшую роль в инфраструктуре доменных служб и называется пустым корнем. Выделенным корневым доменом леса называется домен, который создается специально для назначения на роль корневого домена леса. В том случае, если в вашей организации развернут один домен, то этот домен и является корневым доменом леса. Корневой домен содержит такие административные группы уровня леса, как Администратор предприятия и Администратор схемы, а также контроллеры домена с ролями хозяев операций уровня леса, а именно мастера именования и мастера схемы. В случае использования выделенного корневого домена, операции администраторов служб леса и администраторов служб домена разделяются, причем члены группы Администраторы домена и встроенной группы Администраторы в региональных доменах не могут с помощью стандартных средств и процедур добавить себя в группы администраторов служб на уровне леса. Тем не менее, если строго ограничить количество администраторов в группах администраторов предприятия и администраторов схемы в корневом домене леса можно модифицировать список членства для этих групп. Помимо этого момента, при анализе развертывания выделенного корневого домена леса следует тщательно проанализировать следующие факторы:</p><ul> <li>Выделенным корневым доменом намного проще управлять, чем корневым доменом, который содержит множество объектов, так как размер базы данных каталога у него сравнительно небольшой. Стоит еще отметить, что корневой домен нельзя заменить и в случае его повреждения придется по-новому восстанавливать весь лес;</li><li>Выделенный корневой домен не представляет конкретный регион и на него не влияют реорганизации и изменения, которые могут привести к переименованию или изменению структуры доменов;</li><li>Выделенный корневой домен не устаревает;</li><li>Выделенный корневой домен также считается нейтральным корнем, так как не один регион не подчинен другому и все региональные домены в доменной структуре могут быть равноправными;</li><li>Выделенный корневой домен без особых усилий реплицируется на другие сайты. Учтите, что корневой домен леса должен всегда быть доступным при входе пользователей или получении доступа к ресурсам не в своем домене.</li></ul><p>Конфигурация выделенного корневого домена не всегда применима к другим доменам леса и, если решено не развертывать выделенный корневой домен леса, необходимо выбрать региональный домен, который бы выполнял его функции. Так как корневой домен содержит роли хозяев операций уровня леса, такой домен должен быть родительским по отношению ко всем остальным региональным доменам.</p><p>Каждому домену в лесе должны быть назначены владельцы доменом, которые являются администраторами подразделений в регионах, где располагается сам домен. Владельцы домена вправе создавать политики безопасности на уровне домена, создавать высший уровень организационных единиц в своем домене, проектировать конфигурации групповых политик на уровне домена, управлять административными группами, а также делегировать административные полномочия внутри своего домена.</p> http://www.microsoft.com/rus/business/smb/blog/11/ Microsoft for Business <div> <p>Как системным администраторам в предприятиях, так и домашним пользователям рано или поздно приходится настраивать компьютеры, а также конфигурацию пользовательских учетных записей. В домашних условиях вы можете просто применить к своему компьютеру и необходимым учетным записям твики реестра, при помощи которых большинство настроек будут применены после перезагрузки компьютера или настраивать его вручную, что может занять очень много времени. Но как же быть, если вы работаете администратором в крупной компании, где нужно настроить десятки, а может и сотни компьютеров. Причем, в вашей организации, скорее всего, существует несколько отделов, у каждого из которых должны быть индивидуальные настройки. Например, компьютеры, расположенные в конференц-залах, предназначенные для проведения презентаций должны быть оснащены обоями рабочего стола с корпоративным логотипом. Или сотрудники отдела маркетинга не должны иметь права на запуск оснастки служб системы или редактора системного реестра. Большинство настроек локального компьютера, а также компьютеров, которые входят в состав доменной сети, настраиваются при помощи групповых политик.</p><p>Групповые политики - это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения.</p><h2>История групповых политик</h2><br/><p>Для операционных систем Windows концепция групповых политик не является инновационным шагом в области системной безопасности и настройки операционных систем. Первые политики появились еще в Windows NT 4.0 и назывались системными политиками. Эти политики предназначались только для изменения данных системного реестра и основывались на файлах, которые назывались шаблонами adm. Для создания этих политик использовался специальный редактор системных политик. На то время системные политики были значительным шагом в обеспечении безопасности операционных систем Windows, несмотря на то, что объекты локальной политики не использовались, и система Windows NT 4.0 не поддерживала службы Active Directory.</p><p>Групповые политики появились в операционной системе Windows 2000 и включали в себя около 900 настроек для пользователей и компьютеров, которые могли в полной мере применяться к клиентским компьютерам. Из утилиты, предназначенной для изменения данных системного реестра, групповые политики операционной системы Windows 2000 превратились в компонент, предназначенный для изменения параметров конфигурации операционной системы. Групповые политики по-прежнему расположены в шаблонах ADM. Система <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000 Server</a> уже позволяет распространять объекты групповых политик для компьютеров, расположенных в домене и подразделениях (OU) в Active Directory.</p><p><img src=http://oszone.net/figs/u/72715/100128075716/gpedit-2000_mini_oszone.jpg alt=* width=480 height=430/></p><p> В операционных системах <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>Windows XP</a> и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2003>Windows Server 2003</a> возможности групповых политик были расширены. С появлением этих систем у администраторов появилась возможность управлять параметрами безопасности и установкой приложений, а количество политик увеличилось до 1400. Локальные объекты групповой политики существовали независимо от того, входит ли компьютер в состав домена, рабочей группы или вовсе не принадлежит к сетевой среде. Все это объекты хранились в папке %SystemRoot%\System32\Group Policy. Политики распространялись только на тот компьютер, где хранятся сами GPO. В том случае, если компьютер не принадлежал к домену, локальная политика использовалась только для настройки конфигурации локального компьютера. Но если он входил в состав домена Active Directory, то параметры, привязанные к инфраструктурной единице домена (домен, лес, сайт) заменяли параметры локального объекта групповой политики.</p><p><img src=http://oszone.net/figs/u/72715/100128075716/gpedit-xp_mini_oszone.JPG alt=* width=480 height=369/></p><p>Операционные системы Windows Vista и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008</a> уже поддерживают около 2500 настроек групповых политик. Новые категории управления политиками теперь уже обеспечивают управление питанием, возможность блокировки установки устройств, улучшенные параметры безопасности, расширение настроек Internet Explorer, а также возможность делегировать пользователям право устанавливать драйверы принтеров. В этих операционных системах было создано расширение для формата шаблонов политик. У форматов adm был значительный недостаток - для реализации локализации групповых политик нужно было создавать отдельный adm-файл для каждого языка. Теперь административные шаблоны представляют собой пару XML-файлов - *.admx файл, который определяет изменения в реестре, а также .adml файл, который отвечает за языковые настройки указанной политики. Несмотря на эти изменения, в одной системе могут сосуществовать как adm, так и admx/adml шаблоны без всяких проблем. В операционной системе Windows <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Server 2008</a> можно создавать стартовые объекты групповой политики. Использование стартового объекта групповой политики позволяет хранить набор параметров административных шаблонов политик в одном объекте и включать эти параметры в новые объекты групповой политики. Также для каждого объекта групповых политик появились возможности добавления комментариев, а сведения о подключенных сетях обеспечивают улучшение отклика групповой политики на изменение сетевых условий.</p><p><img src=http://oszone.net/figs/u/72715/100128075716/gpedit-vista_mini_oszone.JPG alt=* width=480 height=366/></p><p>В операционной системе Windows Server 2008 появился следующий функционал:</p><ul><li><strong>Предпочтения групповых политик</strong>. Эти предпочтения предоставляют множества расширений для групповой политики. С помощью предпочтений групповой политики можно управлять сопоставлениями дисков, параметрами реестра, локальными пользователями и группами, службами, файлами и папками без необходимости изучения языка сценариев.</li><li><strong>Служба групповой политики</strong>. Инфраструктура групповой политики усовершенствована за счет разработки новой архитектуры для выполнения групповой политикой уведомлений и обработки.</li><li><strong>Ведение журнала</strong>. Для записи сообщений о событиях групповой политики теперь используется журнал системы, а не журнал приложения. В средстве Просмотр событий эти новые сообщения с указанием источника Microsoft-Windows-GroupPolicy.</li><li><strong>Работа с несколькими объектами локальной групповой политики</strong>. В отличие от групповой политики операционных систем Windows <a href=http://technet.microsoft.com/ru-ru/windows/bb264763.aspx target=_blank title=Посетите техцентр Windows XP>XP</a> и Windows Server 2003, теперь появилась возможность управления несколькими локальными объектами групповой политики на одном компьютере, что облегчает управление для среды, где нужно управлять групповыми политиками только на одном компьютере.</li></ul><p>В операционных системах Windows 7 и <a href=http://technet.microsoft.com/ru-ru/windowsserver/bb310558.aspx target=_blank title=Узнайте больше о Windows Server на странице продукта>Windows Server 2008 R2</a> уже насчитывается около 3200 настроек групповых политик, а также появились следующие изменения по сравнению с предыдущими версиями Windows:</p><ul><li><strong>Командлеты Windows PowerShell для управления групповой политикой</strong>. Теперь, в операционных системах <a href=http://technet.microsoft.com/ru-ru/windows/dd361745.aspx target=_blank title=Узнайте больше о Windows 7>Windows 7</a> и Windows Server 2008 R2 появилась возможность управления групповыми политиками средствами мощнейшей оболочки и языка сценариев Windows - PowerShell. Для выполнения этих задач можно использовать свыше 25 командлетов.</li><li><strong>Изменения в предпочтениях групповых политик</strong>. С появлениями новых систем также обновились предпочтения групповых политик. Простейшим примером того служит улучшение расширения предпочтения Параметры обозревателя, где добавлены элементы предпочтения для <a href=http://msdn.microsoft.com/ru-ru/ie/default.aspx target=_blank title=Загрузите последнюю версию Internet Explorer и узнайте о возможностях браузера>Internet Explorer</a> 8.</li><li><strong>Изменения в начальных объектах групповых политик</strong>. Помимо начальных объектов групповых политик в Windows 7 и Windows Server 2008 R2 появились системные начальные объекты групповой политики <a href=http://www.video-serial.ru/ target=_blank>смотреть онлайн</a>. Это объекты, предназначенные только для чтения, и представляющие основу для параметров определенного сценария.</li><li><strong>Улучшение пользовательского интерфейса параметров политик</strong>. В новейших операционных системах очень сильно изменился внешний вид параметров политики. В предыдущих версиях Windows диалоговое окно свойств политики административного шаблона содержало три отдельных вкладки: <strong>Параметр</strong>, <strong>Объяснение</strong> и <strong>Комментарий</strong>. В Windows Server 2008 R2 эти настройки выполняются в одном месте диалогового окна свойств.</li></ul><p><img src=http://oszone.net/figs/u/72715/100128075716/gpedit-7_mini_oszone.JPG alt=* width=480 height=369/></p><p>Из цикла статей, посвященных, посвященных групповым политикам Windows вы узнаете о функционале:</p><ul><li>оснастки консоли управления <strong>Редактор локальной групповой политики</strong>;</li><li>локальных политиках безопасности (поднаборе политик, связанных с безопасностью компьютера);</li><li>шаблонах безопасности и групповых политик;</li><li>управлении политиками средствами PowerShell;</li><li>создании собственных административных шаблонов.</li></ul><p>В статьях, посвященных функционалу групповых политик в Windows Server 2008/2008R2 вы узнаете о работе:</p><ul><li>оснастки <strong>Консоль управления групповой политикой</strong>;</li><li>предпочтениях групповых политик;</li><li>использовании приоритетов для одного и того же параметра политики в подразделении;</li><li>фильтрах инструментария управления Windows;</li><li>начальных объектах групповой политики;</li><li>делегировании прав групповых политик;</li><li>анализе и настройке безопасности.</li></ul><p>Также будут рассмотрены утилиты командной строки, которые являются аналогами мастера результатов групповой политики, оснастки <strong>Анализ и настройка безопасности</strong>, оснастки <strong>Мастер настройки безопасности</strong>, а также предназначенные для включения аудита успешных изменений службы каталогов на контроллере домена.</p></div> http://www.microsoft.com/rus/business/smb/blog/10/ Microsoft for Business <p>Сейчас ни&nbsp;кого не&nbsp;нужно убеждать в&nbsp;необходимости использования в&nbsp;бизнесе компьютерной техники. Уже давно невозможно найти практически ни&nbsp;одного предприятия или организации, в&nbsp;которых&nbsp;бы не&nbsp;было компьютеров. Но&nbsp;если в&nbsp;крупных компаниях уже пришло понимание того, что IT-инфраструктура может, и&nbsp;должна использоваться с&nbsp;максимальной эффективностью, принося прибыль, то&nbsp;практически во&nbsp;всех небольших организациях компьютерная техника рассматривается только как источник постоянной головной боли и&nbsp;не&nbsp;прекращающихся затрат. И, к&nbsp;сожалению, особенно в&nbsp;мелких компаниях, чаще всего, это соответствует действительности.</p><p>Существует довольно много причин, почему компьютерная техника в&nbsp;небольших организациях используется не&nbsp;эффективно и&nbsp;создает проблемы, вместо того, чтобы помогать их&nbsp;решать. Прежде всего, это конечно скромные финансовые возможности большинства таких компаний. Но, пожалуй, еще большую роль играет отсутствие знаний о&nbsp;том, как добиться надежной и&nbsp;эффективной работы компьютерной техники, как избежать проблем при ее&nbsp;использовании и&nbsp;обеспечить стабильный рост бизнеса, потратив на&nbsp;это разумные средства. В&nbsp;этом нет ничего удивительного. Ведь в&nbsp;крупных компаниях различными аспектами использования компьютерной техники занимаются подготовленные, квалифицированные специалисты, а&nbsp;в&nbsp;небольшой организации, чаще всего, руководителю приходится одному, самостоятельно принимать решения, касающиеся и&nbsp;бизнеса в&nbsp;целом, и&nbsp;IT-инфраструктуры. При этом он&nbsp;просто физически не&nbsp;может тратить много времени на&nbsp;детальное изучение особенностей использования компьютеров в&nbsp;бизнесе, а&nbsp;вынужден ориентироваться либо на&nbsp;советы знакомых, которых он&nbsp;считает более компетентными в&nbsp;IT, либо на&nbsp;собственный опыт использования компьютера для личных целей. Поэтому очень часто в&nbsp;мелких компаниях, развитие IT-инфраструктуры фактически отпущено на&nbsp;самотек. По&nbsp;мере необходимости, для сотрудников приобретают компьютеры или ноутбуки, и&nbsp;соединяют их&nbsp;в&nbsp;одно ранговую сеть. На&nbsp;первый взгляд такая структура удовлетворяет основным потребностям бизнеса, но&nbsp;если подробнее проанализировать такую конфигурацию, то&nbsp;станет ясно, насколько серьезные проблемы она с&nbsp;собой несет. </p><p>При такой организации IT-инфраструктуры каждый пользователь оказывается на&nbsp;своей машине администратором. То&nbsp;есть, фактически получается, предоставлен сам себе, потому, что именно он&nbsp;занимается и&nbsp;всеми настройками, и&nbsp;обслуживанием, и&nbsp;устранением возникших неполадок. Причем, даже если в&nbsp;компании есть системный администратор, он&nbsp;при всем желании не&nbsp;сможет помочь пользователям. Потому, что, из-за отсутствия единых стандартов, администратор по&nbsp;горло занят обеспечением совместной работы всего имеющегося в&nbsp;организации зоопарка и&nbsp;просто не&nbsp;в&nbsp;состоянии разобраться в&nbsp;том, что каждый из&nbsp;пользователей накрутил у&nbsp;себя в&nbsp;машине. Любое изменение структуры сети, например, добавление, или удаление пользователей, принтеров, компьютеров, или каких либо других сетевых устройств, приводит к&nbsp;необходимости вносить изменение в&nbsp;настройки на&nbsp;каждом из&nbsp;компьютеров. Что резко повышает вероятность каких-либо ошибок и&nbsp;способно серьезно затормозить работу всей организации.</p><p>Но&nbsp;куда опаснее&nbsp;то, что в&nbsp;случае использования одно ранговой сети все документы и&nbsp;данные, необходимые для бизнеса хранятся на&nbsp;компьютерах пользователей. Поэтому даже отсутствие пользователя на&nbsp;работе может создать серьезные проблемы. А&nbsp;в&nbsp;случае какого-либо сбоя, или ошибки пользователя, существует реальная опасность утраты критически-важной для организации информации. </p><p>Нельзя также забывать и&nbsp;о&nbsp;невозможности обеспечить, при такой организации, единую политику безопасности, учета и&nbsp;аудита. Очень часто, помучившись с&nbsp;настройками прав для разных пользователей, которые также приходится прописывать на&nbsp;каждой машине индивидуально, разрешают всем и&nbsp;все!!! К&nbsp;чему это может привести, думаю объяснять не&nbsp;нужно! И&nbsp;это далеко не&nbsp;полный перечень возможных проблем.</p><p>Вот и&nbsp;получается, что, не&nbsp;задумываясь о&nbsp;недостатках одно ранговых сетей, многие небольшие компании фактически сидят на&nbsp;пороховой бочке, рискуя очень серьезными финансовыми потерями, а&nbsp;порой и&nbsp;потерей всего бизнеса. Опыт показывает, что пока гром не&nbsp;грянет&nbsp;- малый бизнес о&nbsp;сервере не&nbsp;задумывается. Впрочем, справедливо и&nbsp;другое утверждение. Организации, уже использовавшие в&nbsp;своей работе серверы и&nbsp;доменную структуру сети прекрасно понимают все преимущества такого решения и&nbsp;практически ни&nbsp;когда не&nbsp;соглашаются на&nbsp;отказ от&nbsp;их&nbsp;использования, даже если это, на&nbsp;первый взгляд, вроде&nbsp;бы сулит значительное снижение затрат. В&nbsp;чем преимущества использования серверной IT-инфраструктуры, и&nbsp;какие, позволяющие сэкономить средства, решения специально для малого бизнеса предлагает Microsoft я&nbsp;постараюсь рассказать в&nbsp;следующих статьях.</p> http://www.microsoft.com/rus/business/smb/blog/09/ Microsoft for Business <h2>Введение</h2><br/><p>Как вам известно, прежде чем внедрять серверную инфраструктуру в предприятия и избежать большинства неприятных моментов по окончанию развертывания, ее следует тщательно спланировать. Ввиду того, что службы Active Directory разворачиваются как центральный репозиторий для хранения данных, а также информации для реализации политики и конфигурации вместе со сценариями входа пользователей, компьютеров и сетевых служб с поддержкой промышленного стандарта LDAP, применяемого для написания запросов и изменения информации в каталоге, логическая и физическая структура организации должна быть спроектирована так, чтобы управление даже в самых больших и сложнейших сетях, предоставляло единую точку, в которой можно развернуть параметры настройки во множестве систем. После того как вы составите окончательную версию бизнес-требований, соглашение об уровне предоставления услуг, а также задокументируете полученную информацию, вам нужно начать проектировать логическую и физическую инфраструктуру предприятия. На этом этапе вам предстоит правильно спланировать количество, структуру и дизайн лесов, из которых будет состоять предприятие, где после планирования будут развертываться доменные службы Active Directory.</p><p>По определению, <strong>лесом</strong> называется наивысший уровень иерархии логической структуры доменных служб, который считается границей репликации и безопасности на предприятии и состоит из одного или нескольких доменов Active Directory. Первый установленный в лесу контроллер домена называется <strong>корневым</strong>. Лес содержит единственное описание конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, где данные не реплицируются. Соответственно, лес задает периметр безопасности организации. Совместно с лесом используются следующие компоненты доменных служб Active Directory:</p><ul><li><strong>Общая схема</strong>. Все контроллеры доменов в лесе используют общую схему, которая хранится в доменных службах Active Directory в разделе каталогов Schema, а также реплицируется на все контроллеры в лесе. Единственный способ развернуть две различные схемы в организации состоит в развертывании двух отельных лесов;</li><li><strong>Общий глобальный каталог</strong>. Глобальным каталогом называется раздел, который хранит информацию о каждом объекте в лесу. То есть, когда пользователь из одного домена выполняет поиск объекта домена во втором, результаты запроса предоставляет именно глобальный каталог. Общий глобальный каталог содержит информацию обо всех объектах во всем лесе. Таким образом, повышается эффективность поиска объектов в лесе и входа пользователей в любой домен леса при помощи UPN;</li><li><strong>Общий раздел каталогов конфигурации</strong>. Раздел конфигурации содержит объекты, предоставляющие логическую структуру размещения леса - в частности, структуру доменов и топологию репликации. Объекты, хранящиеся в разделе конфигурации, должны реплицироваться среди всех контроллеров всех доменов лесов и использовать один контейнер конфигурации. Данные конфигурации включают список всех доменов, деревьев и лесов, а также размещение контроллеров доменов и глобальных каталогов. Раздел каталогов конфигурации также используется такими приложениями Active Directory, как <a href=http://technet.microsoft.com/ru-ru/exchange/default.aspx target=_blank title=Узнайте больше об Exchange Server>Exchange Server</a> и Share Point;</li><li><strong>Общий набор мастеров операций и администраторов уровня леса</strong>. В любой реплицируемой базе данных определенные изменения должны производиться только одной репликой, так как нецелесообразно выполнять их всеми равноправными участниками. Некий ограниченный набор операций нельзя выполнять в различных местах одновременно, а можно лишь на одном контроллере домена или только в одном лесу. Контроллер домена, выполняющий особые роли, называется <strong>мастером операций</strong>. На него добавляется гибкая роль FSMO (Flexible Single-Master Operations). Доменные службы Active Directory содержат пять ролей мастеров операций, для леса предусмотрены две роли, а для домена - три. Роли мастера схемы и мастера именования доменов конфигурируются на уровне леса. Каждый лес располагает только одним мастером схемы и одним мастером именования доменов, причем в корневом домене леса создаются две группы безопасности со своими уникальными разрешениями. Мастера операций будут подробнейшим образом рассмотрены в одной из последующих статей;</li><li><strong>Общая конфигурация доверия</strong>. Все домены в лесе автоматически конфигурируются для доверия всем остальным доменам леса. Концепция доверительных отношений также будет рассмотрена отдельно.</li></ul><p>При планировании лесов предприятия требуется в первую очередь определиться, сколько лесов Active Directory следует создать. После этого вам предстоит выбрать модель леса, а также на этом этапе создается политика модификации схемы, которая очерчивает круг лиц, обладающих полномочиями управления, схемой и регулирует механизм административных модификаций, воздействующих на лес в целом. Обо всем этом вы узнаете в подробностях из данной статьи.</p><h2>Определение требования схемы леса и полномочий</h2><br/><p>Перед тем как вы будете проектировать схему леса предприятия, нужно особое внимание уделить производственным требованиям, которые будет удовлетворять структура доменных служб. Службы каталогов позволяют спроектировать такую инфраструктуру, которая будет приспособлена для групп с различными и уникальными требованиями к управлению. К требованиям, которые могут предоставить организации при проектировании доменных служб Active Directory, можно отнести:</p><ul><li><strong>Организационные структурные требования</strong>. Огромное значение при проектировании структуры леса имеет правильное понимание организационной структуры предприятия. В целях экономии средств определенные части организации могут использовать общую инфраструктуру, но одновременно работая независимо от остальной части организации. Например, одним из таких требований может считаться временная изоляция конкретного подразделения предприятия на определенный срок, которому необходимо устанавливать каталоги приложений, изменяющие схему Active Directory. В этом случае, если такое подразделение принадлежит к одному лесу, в котором расположены и остальные пользователи организации, самой организации может быть нанесен существенный ущерб. Поэтому для сбора организационных структурных требований лучше всего начать с определения различных групп принципалов безопасности, которые будут использоваться в доменных службах Active Directory. После этого определите, какие группы должны работать отдельно от всей организации. Если такие группы в вашей организации будут обнаружены, определите, могут ли они нанести ущерб всей организации. Обычно, группы, которые имеют различные требования от остальной части организации, размещают в отдельные леса;</li><li><strong>Законодательные требования</strong>. В процессе проектирования вы также должны иметь представление о правовых требованиях, которые должна соблюдать организация. В некоторых организациях в бизнес-контракте указано, что по закону требуется обеспечить определенный режим работы, например, ограничить доступ к определенным ресурсам. Несоблюдение таких требований может привести к расторжению контракта и, даже, к судебному преследованию. Поэтому, во время дизайна структуры лесов, при сборе правовых требований, начините с определения правовых обязательств организации. Чтобы соблюдать требования к безопасности, в некоторых организациях необходимо работать во внутренних изолированных сетях;</li><li><strong>Эксплуатационные требования</strong>. После того как вы определите организационные структурные и юридические требования вам нужно заняться сбором эксплуатационных требований, которые будут влиять на разработку структуры леса. Иногда случаются такие сценарии, когда какая-либо часть организации накладывает уникальные ограничения на конфигурацию службы каталогов, на доступность или безопасность этой службы или же использует приложения, которые накладывают уникальные ограничения на каталог. Отдельные подразделения организации могут развернуть отсутствующие в других подразделениях приложения, которые изменяют схему каталогов. Уникальные эксплуатационные требования могут использовать такие организации, как военные или хостинговые компании, предоставляющие услуги размещения. Для того чтобы определить эксплуатационные требования, лучше всего начать с инвентаризации оперативных групп вместе с эксплуатационными требованиями для каждой отдельной группы;</li><li><strong>Требования ограниченной связи</strong>. Наконец, для проектирования структуры леса важно выявление любых ограниченных требований связи. Во многих организациях есть филиалы с изолированными сетями, которые имеют ограниченную пропускную способность. При проектировании леса лучше всего начать с определения всех групп, расположенных удаленно от центрального офиса.</li></ul><p>Завершив этот перечень основных требований, вы можете перейти к стадии определения полномочий администраторов и владельцев данных и служб.</p><p>В доменных службах Active Directory существует много типов административной деятельности, включая конфигурацию данных и управление данными в службе каталогов. В крупных организациях административные роли доменных служб разделяются на несколько категорий. Один из способов описания различных категорий заключается в разделении владельцев лесов, владельцев и администраторов данных, а также владельцев и администраторов служб.</p><ul><li>Владельцы леса отвечают за подбор и поддержку администраторов служб, поэтому из доверия владельцу леса следует доверие администраторам служб, управляемых владельцем леса;</li><li>Владельцы и администраторы данных отвечают за информацию, которая хранится в доменных службах Active Directory. владельцы данных регламентируют политики и процессы управления данными, а администраторы данных располагают правами и привилегиями создания объектов AD DS в структуре, которая определяется владельцами и администраторами службы;</li><li>Владельцы и администраторы служб отвечают за службу доменных служб и полностью контролируют данные и службы на всех контроллерах леса. Владельцы служб принимают решения относительно количества лесов, доменов и сайтов, необходимых для выполнения требования компании к службе каталогов Active Directory. А, в свою очередь, администраторы служб имеют следующие возможности:</li><ul><li>Изменение системного программного обеспечения на контроллерах домена, обходя любые обычные проверки безопасности, что позволяет просматривать все объекты в домене и управлять ими независимо от того, разрешено ли это им в списках управления доступом;</li><li>Устранение ошибок, связанных со списками управления доступом к объектам, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;</li><li>Сбрасывать пароли и изменять членства пользователей в группах;</li><li>Использование политики безопасности <strong>Группы с ограниченным доступом</strong>, предназначенных для предоставления всем пользователям и группам административного доступа к любому компьютеру, присоединенному к домену, что позволяет администраторам служб читать, изменять и удалять объекты, независимо от того, разрешено ли это им в списках управления доступом;</li><li>Иметь доступ к другим доменам леса путем изменения системного программного обеспечения на контроллерах доменов. Администраторы служб могут просматривать или изменять данные конфигурации леса, просматривать или изменять данные, хранящиеся в любом домене, а также просматривать или изменять данные на любом присоединенном к домену компьютере.</li></ul></ul><p>В связи с тем, что администраторы служб имеют такие полномочия, желательно, чтобы в организации было минимальное количество администраторов служб. По умолчанию такими правами обладают группы<strong>Администраторы домена</strong> в корневом лесе, <strong>Администраторы предприятия</strong> и <strong>Администраторы схемы</strong>.</p><h2>Создание безопасного леса на основании корпоративных требований</h2><br/><p>В дополнение к вышеперечисленным требованиям, вам нужно определить, будет ли структура леса автономной или изолированной.</p><p><strong>Административная автономия</strong> предполагает полный административный контроль над некоторыми компонентами леса на уровне леса, домена или подразделения. По достижении автономии администраторы получают право независимо управлять ресурсами. Тем не менее, автономия не означает получения эксклюзивного контроля. Существуют администраторы с более широкими полномочиями, которые тоже могут управлять этими ресурсами и при необходимости могут лишить полномочий подчиненных администраторов. Логическая структура доменных служб проектируется с одним из указанных ниже типов автономии:</p><ul><li><strong>Автономия служб</strong>. Автономия служб предполагает возможность управлять инфраструктурой, не требуя единоличного контроля, то есть, если группе нужно внести изменения в инфраструктуру, пространство имен или схему без разрешения владельца леса. Автономия служб может потребоваться группам, которым нужно иметь возможность управлять уровнем обслуживания в доменных службах Active Directory или группам, которым нужно иметь возможность устанавливать поддерживающие каталоги приложения, требующие изменения схемы;</li><li><strong>Автономия данных</strong>. Включает в себя контроль над всеми или частью данных, которые хранятся в каталоге или на рядовых компьютерах, которые подключены к домену. Автономия данных предполагает, что группа или предприятие может управлять своими собственными данными, а также принимать административные решения по поводу данных и выполнять все необходимые задачи, не обращаясь за решением к другому полномочному органу. Если нет необходимости защищать конкретные данные от других администраторов в лесу, определенная группа может дать заявку на то, чтобы у нее была возможность самой управлять своими данными, которые относятся к конкретному проекту.</li></ul><p><strong>Административная изоляция</strong> предполагает получение эксклюзивного контроля над компонентом каталога. В случае административной изоляции никто, кроме указанных администраторов не может получить права управлять ресурсами, и никто из администраторов не может лишить их этих прав. Также как и в случае с административной автономией, логическая структура доменных служб проектируется с одним из указанных ниже типов изоляции:</p><ul><li><strong>Изоляция служб</strong>. Изоляция служб позволяет администраторам контролировать работу служб и вмешиваться в нее могут только те администраторы, которым предоставлены такие разрешения. Группам, которые выдвигают требования к изоляции служб, необходимо, чтобы никто из администраторов вне данной группы не мог повлиять на работу служб каталогов. Например, если ваша организация оказывает услуги размещения веб-узлов клиентам и для каждого клиента требуется изоляция служб, чтобы перебои в работе основных служб не влияли на других клиентов;</li><li><strong>Изоляция данных</strong>. Изоляция данных препятствует всем, кроме указанных администраторов контролировать подмножество данных в каталоге или на рядовых компьютерах, присоединенных к домену, и просматривать эти данные. Администраторы служб могут лишить администраторов данных возможности управлять ресурсами, а администраторы данных не могут лишить администраторов служб доступа к ресурсам, которыми они управляют. В связи с этим, если группе требуется изоляция данных, то такая группа должна взять на себя еще и ответственность за администрирование служб. Единственным способом для таких групп получения изоляции заключается в том, чтобы создать для этих данных отдельный лес. Например, если финансовой структуре необходимо сделать так, чтобы доступ к данным клиентов, которые находятся в отдельной юрисдикции, имели только пользователи, администраторы и компьютеры, расположенные в этой юрисдикции. Так как руководство полностью доверяет администраторам служб удаленной юрисдикции, поэтому в таком учреждении необходимо изолировать данные от администраторов служб, которые находятся за пределами данной юрисдикции.</li></ul><p>Помимо этих простых примеров, в доменных службах Active Directory предусмотрено еще множество способов реализации административной автономии и изоляции. Стоит помнить, что администраторы, которым требуется только автономия, должны мириться с тем, что другие администраторы с равными или более широкими административными полномочиями имеют равные или более широкие возможности контролировать управление службами или данными, а администраторы, которым требуется изоляция, полностью контролируют управление службами или данными. Многим компаниям требуется административная автономия с относительной гарантией того, что администраторы из других разделов в лесе не будут выполнять вредоносные действия. Также стоит отметить, что разработка автономной схемы в общем случае дешевле разработки изолированной схемы.</p><h2>Выбор количества требуемых лесов</h2><br/><p>После того как вы выполнили все указанные выше требования, вам нужно определить необходимое количество лесов для инфраструктуры организации. Чтобы определить, сколько лесов необходимо развернуть, выясните, какие требования к автономии и изоляции выдвигает каждая группа организации, а затем все эти требования реализуйте в схемах моделей леса. Не стоит забывать, что разбить один лес на два очень сложно. При разработке лесов для каталога сетевой операционной системы (NOS) будет достаточно использовать только один лес. В большинстве случаев, развертывание доменных служб Active Directory выполняется в одном лесе, так как для многих компаний преимущества общего глобального каталога, встроенные доверительные отношения и общий раздел конфигурации играют более важную роль, нежели полное разделение всех административных ролей. Для того чтобы определить, сколько лесов будет использовать ваша организации, рассмотрите следующие ситуации:</p><ul><li>Определите необходимость изоляции или автономии лесов. Необходимость изоляции ограничивает выбор схем, в связи с чем, необходимо будет развернуть еще как минимум один лес для вашей организации;</li><li>Для определения количества лесов, необходимо найти баланс между расходами и преимуществами. Модель с одним лесом является наиболее экономной, требующей наименьших административных затрат. При предпочтении автономной работе с административными службами, экономнее остановиться на услугах надежной ИТ-группы, что позволит управлять данными без затрат на управление самой службой;</li><li>Две разные и автономные ИТ-организации не должны владеть одним и тем же лесом, так как цели их ИТ-групп могут существенно расходиться, что повлечет за собой перебои в рабочем процессе для каждой организации. Поэтому некоторые компании развертывают отдельные леса доменных служб в демилитаризованных зонах. Для повышения безопасности внутренней сети многие организации развертывают серверы с прямым доступом в Интернет именно в DMZ. При этом допустимо использовать управление пользователями и компьютерами в Active Directory, поддерживая изоляцию внутреннего леса;</li><li>В целях безопасности доступ к определенной сетевой информации, целесообразно предоставлять отдельным организационным единицам, при этом используя полное разделение сетевых данных, где информация об одном лесе не отображается в другом. Нецелесообразно передавать администрирование служб внешним партнерам, особенно если это касается многонациональной организации, находящейся в разных странах или регионах. Ввиду того, что действия одних партнеров могут повлиять на услуги, предоставленные другими, партнеры должны соблюдать соглашение об уровне обслуживания, поскольку эти группы нельзя изолировать друг от друга, так как внутри леса все домены используют транзитивные доверительные связи;</li><li>При использовании уникальной схемы развертывания приложений, с несовместимыми изменениями в схеме у разных подразделений в организации, предпочтительно создавать отдельные леса;</li><li>Отдельные леса развертываются также в том случае, если организационная единица не работает с централизованным администрированием или не принимает централизованные административные процедуры.</li></ul> http://www.microsoft.com/rus/business/smb/blog/08/ Microsoft for Business <h2>Введение</h2><br/><p>Основополагающим компонентом доменных служб в каждой организации являются принципалы безопасности (оригинальное название - Security Principal), которые предоставляют пользователей, группы или компьютеры, которым требуется доступ к определенным ресурсам в сети. Именно таким объектам, как принципалам безопасности можно предоставлять разрешения доступа к ресурсам в сети, причем каждому принципалу во время создания объекта присваивается уникальный идентификатор безопасности (SID), который состоит из двух частей. <strong>Идентификатором безопасности SID</strong> называется числовое представление, которое уникально идентифицирует принципал безопасности. Первая часть такого идентификатора представляет собой <strong>идентификатор домена</strong>. Ввиду того, что принципалы безопасности расположены в одном домене, всем таким объектам присваивается один и тот же идентификатор домена. Второй частью SID является <strong>относительный идентификатор (RID)</strong>, который используется для уникальной идентификации принципала безопасности по отношению к ведомству, которое выдает SID.</p><p>Несмотря на то, что планирование и развертывание инфраструктуры доменных служб в большинстве организаций выполняется лишь один раз и в большинство объектов изменения вносятся очень редко, к важному исключению из этого правила можно отнести принципалы безопасности, которые необходимо периодически добавлять, изменять, а также удалять. Одним из основополагающих компонента идентификации являются учетные записи пользователей. По сути, учетные записи пользователей представляют собой физические объекты, в основном людей, которые являются сотрудниками вашей организации, но бывают исключения, когда учетные записи пользователей создаются для некоторых приложений в качестве служб. Учетные записи пользователей играют важнейшую роль в администрировании предприятии. К таким ролям можно отнести:</p><ul><li><strong>Удостоверение личности пользователей</strong>, так как созданная учетная запись позволяет входить на компьютеры и в домены именно с теми данными, подлинность которых проверяет домен;</li><li><strong>Разрешения доступа к ресурсам домена</strong>, которые назначаются пользователю для предоставления доступа к доменным ресурсам на основании явных разрешений.</li></ul><p>Объекты учетных записей пользователей можно отнести к самым распространенным объектам в Active Directory. Именно пользовательским учетным записям администраторы обязаны уделять особое внимание, так как пользователям свойственно приходить работать в организацию, перемещаться между отделами и офисами, жениться, выходить замуж, разводиться и даже увольняться из компании. Такие объекты представляют собой набор атрибутов, причем только одна пользовательская учетная запись может содержать свыше 250 различных атрибутов, что в несколько раз превышает количество атрибутов на рабочих станциях и компьютеров, работающих под операционной системой Linux. Во время создания учетной записи пользователя создается ограниченный набор атрибутов, а уже потом вы можете добавлять такие пользовательские учетные данные как организационные сведения, адреса проживания пользователей, телефонные номера и многое другое. Поэтому важно обратить внимание на то, что одни атрибуты являются <strong>обязательными</strong>, а остальные - <strong>опциональными</strong>. В этой статье я расскажу о ключевых методах создания пользовательских учетных записей, о некоторых опциональных атрибутах, а также будут описаны средства, позволяющие автоматизировать рутинные действия, связанные с созданием учетных записей пользователей.</p><h2>Создание пользователей при помощи оснастки Active Directory - пользователи и компьютеры</h2><br/><p>В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку <strong>Active Directory - пользователи и компьютеры</strong>, которая добавляется в папку <strong>Администрирование</strong> сразу после установки роли <strong>Доменные службы Active Directory</strong> и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи. Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong>. Для этого вам нужно открыть панель управления, в ней открыть раздел <strong>Система и безопасность</strong>, затем <strong>Администрирование</strong> и в появившемся окне открыть оснастку <strong>Active Directory - пользователи и компьютеры</strong>. Также вы можете воспользоваться комбинацией клавиш <img src=http://oszone.net/figs/u/72715/100925050942/winkey.png alt=* width=20 height=19/>+R для открытия диалога <strong>Выполнить</strong> и в диалоговом окне <strong>Выполнить</strong>, в поле<strong>Открыть</strong> ввести <em>dsa.msc</em>, а затем нажать на кнопку <strong>ОК</strong>;</li><li>В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из <a href=http://www.outsidethebox.ms/tag/context-menus/ target=_blank title=Узнайте, как настроить под себя контекстные меню Windows 7>контекстного меню</a> выберите команду <strong>Создать</strong>, а затем <strong>Пользователь</strong>, как показано на следующей иллюстрации:</li><br/><p><a href=http://oszone.net/figs/u/72715/100925050942/dsa-01.jpg target=_blank><img src=http://oszone.net/figs/u/72715/100925050942/dsa-01_mini_oszone.jpg alt=* width=480 height=362/><br/>Увеличить рисунок</a></p><p><strong>Рис. 1. Оснастки Active Directory - пользователи и компьютеры и создание нового пользователя</strong></p><li>В появившемся диалоговом окне <strong>Новый объект - Пользователь</strong> введите следующую информацию:</li><ul><li>В поле <strong>Имя</strong> введите имя пользователя;</li><li>В поле <strong>Инициалы</strong> введите его инициалы (чаще всего инициалы не используются);</li><li>В поле <strong>Фамилия</strong> введите фамилию создаваемого пользователя;</li><li>Поле <strong>Полное имя</strong> используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) <strong>CN</strong> и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит лишь в случае необходимости;</li><li>Поле <strong>Имя входа пользователя</strong> является обязательным и предназначено для имени входа пользователя в домен. Здесь вам нужно ввести имя пользователя и из раскрывающегося списка выбрать суффикс UPN, который будет расположен после символа @;</li><li>Поле <strong>Имя входа пользователя (Пред-<a href=http://technet.microsoft.com/ru-ru/windowsserver/bb512919.aspx target=_blank title=Посетите техцентр Windows Server 2000>Windows 2000</a>)</strong> предназначено для имени входа для систем предшествующих операционной системе Windows 2000. В последние годы в организациях все реже встречаются обладатели таких систем, но поле обязательно, так как некоторое программное обеспечение для идентификации пользователей использует именно этот атрибут;</li></ul><p>После того как заполните все требуемые поля, нажмите на кнопку <strong>Далее</strong>:</p><p><img src=http://oszone.net/figs/u/72715/100925050942/dsa-02.jpg alt=* width=441 height=371/></p><p><strong>Рис. 2. Диалоговое окно создания пользовательской учетной записи</strong></p><li>На следующей странице мастера создания пользовательской учетной записи вам предстоит ввести начальный пароль пользователя в поле <strong>Пароль</strong> и подтвердить его в поле <strong>Подтверждение</strong>. Помимо этого, вы можете выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Лучше всего использовать эту опцию в связке с локальными политиками безопасности <strong>Политика паролей</strong>, что позволит создавать надежные пароли для ваших пользователей. Также, установив флажок на опции <strong>Запретить смену пароля пользователем</strong> вы предоставляете пользователю свой пароль и запрещаете его изменять. При выборе опции<strong>Срок действия пароля не ограничен</strong> у пароля учетной записи пользователя срок действия пароля никогда не истечет и не будет необходимости в его периодическом изменении. Если вы установите флажок<strong>Отключить учетную запись</strong>, то данная учетная запись будет не предназначена для дальнейшей работы и пользователь с такой учетной записью не сможет выполнить вход до ее включения. Данная опция, как и большинство атрибутов, будет рассмотрена в следующем разделе данной статьи. После выбора всех атрибутов, нажмите на кнопку <strong>Далее</strong>. Эта страница мастера изображена на следующей иллюстрации:</li><br/><p><img src=http://oszone.net/figs/u/72715/100925050942/dsa-03.jpg alt=* width=441 height=371/></p><p><strong>Рис. 3. Создание пароля для создаваемой учетной записи</strong></p><li>На последней странице мастера вы увидите сводную информацию о введенных вами параметрах. Если информация внесена корректно, нажмите на кнопку <strong>Готово</strong> для создания пользовательской учетной записи и завершения работы мастера.</li></ol><h2>Создание пользователей на основании шаблонов</h2><br/><p>Обычно в организациях существует множество подразделений или отделов, в которые входят ваши пользователи. В этих подразделениях пользователи обладают схожими свойствами (например, название отдела, должности, номер кабинета и пр.). Для наиболее эффективного управления учетными записями пользователей из одного подразделения, например, используя групповые политики, целесообразно их создавать внутри домена в специальных подразделениях (иначе говоря, контейнерах) на основании шаблонов. <strong>Шаблоном учетной записи</strong> называется учетная запись, впервые появившаяся еще во времена операционных систем Windows NT, в которой заранее заполнены общие для всех создаваемых пользователей атрибуты. Для того чтобы создать шаблон учетной записи пользователя, выполните следующие действия:</p><ol><li>Откройте оснастку <strong>Active Directory - пользователи и компьютеры</strong> и создайте стандартную учетную запись пользователя. При создании такой учетной записи желательно чтобы в списке пользователей в подразделении имя данной записи выделялось из общего списка, и всегда было расположено на видном месте. Например, чтобы такая учетная запись всегда находилось первой, задайте для создаваемого шаблона имя с нижними подчеркиваниями, например, _Маркетинг_. Также, на странице ввода пароля установите флажок <strong>Отключить учетную запись</strong>. Так как эта запись будет использоваться только в качестве шаблона, она должна быть отключена;</li><li>В области сведений оснастки выберите созданную вами учетную запись (значок объекта данной учетной записи будет содержать стрелку, направленную вниз, что означает, что данная учетная запись отключена), нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду <strong>Свойства</strong>;</li><br/><p><img src=http://oszone.net/figs/u/72715/100925050942/dsa-04.jpg alt=* width=424 height=567/></p><p><strong>Рис. 4. Свойства учетной записи пользователя</strong></p><li>Для того чтобы некоторые атрибуты продублировались в свойствах учетных записей пользователей, которые в последствии будут создаваться на основании вашего шаблона, нужно заполнить необходимые для вас поля в свойствах шаблона учетной записи. Вкладки, которые чаще всего используются при редактировании свойств учетных записей, предоставлены ниже:</li><ul><li><strong>Общие</strong>. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;</li><li><strong>Адрес</strong>. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;</li><li><strong>Учетная запись</strong>. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;</li><li><strong>Профиль</strong>. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;</li><li><strong>Организация</strong>. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;</li><li><strong>Члены групп</strong>. Здесь указывается основная группа и членство в группах.</li></ul><p>Это основные вкладки, которые заполняются при создании шаблонов учетной записи. Помимо этих шести вкладок, вы можете еще заполнять информацию в 13 вкладках. Большинство из этих вкладок будут рассмотрены в последующих статьях данного цикла.</p><li>На следующем шагу создается учетная запись пользователя, основанная на текущем шаблоне. Для этого нажмите правой кнопкой мыши на шаблоне учетной записи и из контекстного меню выберите команду<strong>Копировать</strong>;</li><li>В диалоговом окне <strong>Копировать объект - Пользователь</strong> введите имя, фамилию, а также имя входа пользователя. На следующей странице введите пароль и подтверждение, а также снимите флажок с опции<strong>Отключить учетную запись</strong>. Завершите работу мастера;</li><br/><p><img src=http://oszone.net/figs/u/72715/100925050942/dsa-05.jpg alt=* width=441 height=371/></p><p><strong>Рис. 5. Диалоговое окно копирования пользовательской учетной записи</strong></p><li>После создания учетной записи перейдите в свойства созданной учетной записи и просмотрите добавляемые вами свойства в шаблон. Отконфигурированные атрибуты будут скопированы в новую учетную запись.</li></ol> http://www.microsoft.com/rus/business/smb/blog/07/ Microsoft for Business <h2>Microsoft Office Live Small Business как платформа для совместной работы над проектом</h2><p><a href=http://volobuiev.wordpress.com/>volobuiev.wordpress.com</a> - Волобуев Валерий, Microsoft Most Valuable Professional, Microsoft Certified Trainer</p><p>Сервисы Windows Live доступны широкому кругу пользователей уже в течение довольно продолжительного времени и заслуженно приобрели большую популярность. Наряду с традиционными функциями многообразного общения, характерными для богатых социальных сетей, сервисы Windows Live предоставляют и уникальные возможности по организации целенаправленной совместной деятельности своих пользователей.</p><p>В этой плоскости Windows Live ориентированы на два сегмента (группы) потенциальных потребителей.</p><p><em>Первая группа</em> - это отдельные пользователи или виртуальные группы, состоящие из коллег по работе, друзей, единомышленников, или родственников, которые хотят иметь временную или постоянную он-лайн площадку для хранения, доступа, обсуждений и совместной работы с фотографиями, документами и другими файлами. Для них предлагаются сервисы Фотографии, Office, и SkyDrive, которые доступны всем подписчикам служб Windows Live. Используя механизм предоставления документов в общий доступ и механизм разграничения прав доверенных контактов, можно организовать наипростейший контролируемый обмен фото- и другой документированной информацией, совместное обсуждение и редактирование, а сервис Office (Office Web App) даст возможность вносить нужные изменения или создавать документы Microsoft Office практически отовсюду, где есть более-менее современный веб-браузер. </p><p><em>Вторая целевая</em> <em>группа</em> заинтересована в организации он-лайн офиса и несложного документооборота малой компании или индивидуального бизнеса, но пока не имеет возможности капиталовложений в серьёзное IT и программное обеспечение. В тоже время, эти люди понимают, что он-лайн присутствие - это очень важный фактор ведения современного бизнеса и очень хотят заявить о себе в Интернет. Собственно, для этой группы и предлагается расширение служб Windows Live - Microsoft Office Live Small Business, которое в дополнение к стандартным возможностям служб Windows Live, предлагает ряд дополнительных услуг, включая создание веб-сайта компании, углубленные возможности администрирования совместной работы и даже некоторые инструменты CRM. </p><p>Основная привлекательность Microsoft Office Live Small Business, несмотря на некоторый недостаток функциональности, заключается в том, что сервис <strong><em>в целом бесплатен</em></strong>. Однако, даже в бесплатном варианте самые существенные элементы, которые требуются в контексте ведения совместной работы, а именно: интегрированная электронная почта, управление документами, календари, контакты и управление задачами, публикация контента в Интернет, возможность обмена мгновенными сообщениями, контроль присутствия и доступ для мобильных сотрудников, - это все есть, в той или иной мере.</p><p>Именно этот тезис и послужит планом для рассмотрения достоинств сервиса Microsoft Office Live Small Business на практическом примере организации совместной работы для постоянно действующей виртуальной рабочей группы предприятия. </p><p>Итак представим себе некую фоновую обстановку для практической задачи. Постановка задачи выглядит следующим образом: персонал, занятый в некотором проекте распределен географически, развертывание среды для коллективной работы участников проекта не должно повлечь никаких дополнительных расходов, вмешательство в уже имеющуюся IT инфраструктуру и установка дополнительного программного обеспечения недопустима или требует отсутствующих привилегий, окружение для совместной работы должно быть простым и хорошо знакомым членам команды и, в принципе, исключить их обучение. Плюс, как всегда это бывает, все должно было работать уже вчера, да и проект должен занимать продолжительное время. </p><p>Среди возможных вариантов решения выбор пал на Office Live Small Business. В данной статье я не буду рассматривать возможные альтернативы и сравнивать их между собой, однако наличие офисного пакета от того же вендора (Microsoft Office 2010) и его прозрачная интеграция с сервисами и сервисов между собой сыграли решающую роль в выборе решения. </p><h2>Начало работы и общее администрирование </h2><br/><p>После несложной регистрации на сервисе (<a href=http://smallbusiness.officelive.com/ target=_blank>http://smallbusiness.officelive.com</a>) происходит переход его на стартовую страницу. Интерфейс стартовой страницы прямолинеен и понятен. Для администратора (владельца портала) стартовая страница (рис. 1) очень логично разделена на шесть областей, каждая из которых отвечает за свой аспект работы с сервисами.</p><p><strong>Рис 1. Стартовая страница Microsoft Office Live Small Business.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/01.jpg alt=Стартовая страница Microsoft Office Live Small Business. width=520 height=354/></p><p>Главное меню вверху страницы позволяет получить доступ к основным составляющим сервиса в один щелчок. Далее идет транспарант с напоминанием о трех важных шагах, которые необходимо сделать для того, чтобы сервис начал работать: сконструировать веб-сайт для своего бизнеса, получить доменное имя и создать почтовый ящик. Ну а основную площадь стартовой страницы занимают четыре квадранта: </p><ul><li>Check Office Live Mail - почта и календарь; </li><li>Build Your Web Site - построение сайта и управление его доменным именем;</li><li>SkyDrive - доступ к папкам и документам в хранилище документов и возможностям по созданию (редактированию) документов посредством Office Web Apps;</li><li>Manage Your Office Live Account - администрирование учетных записей и предоставляемых сервисов;</li><li>Web Site Statistics - апплет для показа статистики посещения сайта.</li></ul><p>Для начала совместной работы администратору, а в последующем и остальным членам команды, необходимо иметь учетные записи на Windows Live. Особая прелесть решения на Office Live Small Business заключается в том, что каждому пользователю портала не нужно это делать в индивидуальном порядке. Это делает администратор, и очень простым способом - открывает почтовый ящик на конкретного сотрудника. Для этого необходимо выбрать опцию <strong>Account Management</strong> (управление учетными записями) в рабочей области Manage Your Office Live Account, войти в режим управления учетными записями и выбрать <strong>E-Mail accounts - Create New Email Account</strong> (рис. 2). </p><p><strong>Рис 2. Создание новой учетной записи.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/02.jpg alt=Создание новой учетной записи. width=520 height=399/></p><p>Следует отметить, что всвязи с последними изменениями в правилах использования сервисов Office Live Small Business, создание новых учетных записей возможно только после регистрации нового или перенаправления уже имеющегося доменного имени (рис.3). Создаваемые при открытии учетной записи на службах Office Live Small Business доменные имена не защитываются (хотя, впрочем, прекрасно работают для веб-сайта). Доменное имя для вебсайта можно приобрести и поддерживать в индивидуальном порядке или здесь же, на портале.</p><p><strong>Рис 3. Запрет создания новой учетной записи по причине отсутствия <br/>зарегистрированного доменного имени. </strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/03.jpg alt=Запрет создания новой учетной записи по причине отсутствия зарегистрированного доменного имени. width=520 height=401/></p><p>Размер почтового ящика для каждой учетной записи составляет 5Gb. После регистрации администратор сохраняет контроль над зарегистрированными участниками совместной работы: имеются опции Reset Password, т.е. сброса пароля в случае его утраты или компрометации и Delete - удаления учетной записи, если она стала неактуальной. Всего можно создать 100 учетных записей, что более чем достаточно для любого проекта. Однако, после удаления, повторное использование удаленного слота возможно только через 90 дней.</p><p>Здесь же в разделе Account Management, через опцию <strong>Users &amp; Permissions</strong>, можно раздать разрешения по использованию <strong>Business Applications</strong> (т.е. бизнес приложений, условно-бесплатная сторона сервиса) для пяти членов команды <br/>(рис. 4). Если необходимо большее количество участников, то их число можно увеличить, но уже на платной основе. </p><p><strong>Рис 4. Администрирование разрешений на приложения портала.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/04.jpg alt=Администрирование разрешений на приложения портала. width=294 height=327/></p><p>Далее создание портала для совместной работы может пойти по двум сценариям: через использование возможностей сервисов Office и SkyDrive на Windows Live и путем использования комплекта из условно-бесплатных бизнес-приложений, доступных в самом сервисе Office Live Small Business: </p><ul><li>Document Manager - библиотеки для хранения документов; </li><li>Team Workspace - рабочей области для совместной работы; </li><li>Time Manager - планировщика распределения ресурсов; </li><li>Contacts - облегченного CRM. </li></ul><p>Впрочем, вполне возможен и комбинированный вариант: стандартные сервисы Windows Live, плюс бизнес-приложения.</p><p><strong>Рис. 5. Портал для участников проекта на основе Business Applications.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/05.jpg alt=Портал для участников проекта на основе Business Applications. width=521 height=260/></p><p>Однако, следует учитывать, что несмотря на достаточно развитые возможности представленных бизнес-приложений, использование исключительно второго варианта в бесплатном виде столкнется с рядом существенных ограничений: выделяется всего лишь 50 Мб для хранения документов, в отличии от 25Гб в SkyDrive, можно использовать только пять учетных записей (из 100 зарегистрированных пользователей), а локализация интерфейса на русский или украинский языки пока невозможна, хотя такая опция и имеется в настройках. </p><p><strong>Рис 6. Бизнес-приложение Contacts.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/06.jpg alt=Бизнес-приложение Contacts. width=520 height=307/></p><p>Конечно, можно приобрести дополнительное пространство и добавочное количество учетных записей за символическую плату, но такой подход противоречит условиям задачи. Да и для уверенной работы неискушенного пользователя в интерфейсе Share Point Services, на котором базируются бизнес-приложения (рис.5), все-таки, требуется базовое обучение. Поэтому, совместную работу над документами, без привлечения дополнительных ресурсов, целесообразнее организовать с использованием традиционных сервисов Office и SkyDrive. </p><h2>Совместная работа над документами и управление задачами</h2><br/><p>Для того, чтобы организовать полноценную совместную работу, можно привлечь такие функции сервисов Windows Live:</p><ul><li>Группы;</li><li>общий Календарь, повестка дня и список задач;</li><li>общий доступ к документам в веб-хранилище;</li><li>обмен мгновенными сообщениями.</li></ul><p>Этот набор, в принципе, покрывает все потребности организации совместной работы в несложном проекте и все они доступны и предполагаются к использованию ранее заведенными в централизованном порядке на портале Office Live учетными записями.</p><p>Начнем с <strong>Групп</strong>. Группы задумывались как средство создания и взаимодействия сообществ по интересам. Для того, чтобы получить дополнительные инструменты управления коллективной работой, доступные для групп, руководителю проекта необходимо завести учетную запись группы и включить в нее всех участников, а участникам, после получения E-Mail оповещения подтвердить свое членство в группе. Опция Группы доступна в меню сервиса Office.</p><p>Учетная запись группы похожа по предназначению на группы рассылки в Active Directory и позволяет организовать коллективную доставку почты всем членам группы по адресу <strong>имя_группы@groups.live.com</strong>, общий чат в Messenger, ведение групповых обсуждений и общего календаря. </p><p>Отличное средство коллективной работы, имеющееся в группах - это <strong>Обсуждения</strong> (рис.7). Любой член группы может открыть тему для обсуждения, а остальные участники - высказываться по этому поводу.</p><p><strong>Рис 7. Страница открытых в группе обсуждений.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/07.jpg alt=Страница открытых в группе обсуждений width=520 height=401/></p><p><strong>Календарь</strong> - тоже очень важный аспект совместной работы. Это не только ведение общего календарного плана мероприятий (повесток дня), но и централизованное управление задачами. Руководитель проекта может составить календарь, воспользовавшись возможностями службы Календарь. Наиболее целесообразно это сделать на уровне Группы, т.к. все участники группы становятся его подписчиками. В дальнейшем можно раздать селективные разрешения на работу с общим календарем членам Группы, если они принимают участие в его составлении.</p><p><strong>Рис. 8. Календарь мероприятий группы UKSATSEQMT в сервисе Календарь у участника группы.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/08.jpg alt=Календарь мероприятий группы UKSATSEQMT в сервисе Календарь у участника группы width=521 height=293/></p><p>Подключенный календарь (и почту) можно редактировать и просматривать в Microsoft Office Outlook, с периодической синхронизацией серверной и локальной версии, однако это требует установки специальной настройки-коннектора. </p><p>Общий доступ к файлам и папкам в сервисе Office (а, фактически, на SkyDrive) предоставляется через соответствующий раздел стартовой страницы - <strong>SkyDrive</strong>. Через него Offile Live Small Business интегрируется с этим сервисом. Такой же доступ имеется в меню на транспаранте стартовой страницы. Документы можно загрузить с локальной рабочей станции, либо создать и просмотреть прямо на месте, не покидая браузера, посредством Office Web App - веб-версий приложений Microsoft Office. Поддерживаются документы форматов Microsoft Office Word, Excel, Powerpoint и OneNote. </p><p><strong>Рис. 9. Создание файлов и папок в сервисе Office.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/09.jpg alt=Создание файлов и папок в сервисе Office width=521 height=253/></p><p>Но до того, как папки на SkyDrive будут заполнены необходимым содержимым, их необходимо создать и предоставить в коллективное использование. </p><p>Владелец или администратор портала может открывать доступ к отдельным файлам или папкам целиком, просто указав адреса электронной почты участников из ранее сгенерированного пула. Доступ возможен в режиме просмотра или просмотра и редактирования. Если необходима полностью публичная видимость работы с документами, то можно открыть возможность просмотра для всех, без необходимости авторизации на сервисах Live. </p><p><strong>Рис. 10. Администрирование общего доступа к папке.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/10.jpg alt=Администрирование общего доступа к папке width=497 height=327/></p><p>Кроме этого, члены группы могут получать оповещения об изменениях общедоступных документов и комментариях к ним, которые оставляют участники общего проекта, что является еще одним способом контроля совместной работы.</p><p><strong>Рис. 11. Оповещение об изменениях в рабочей области на стартовой странице служб Windows Live.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/11.jpg alt=Оповещение об изменениях в рабочей области на стартовой странице служб Windows Live width=392 height=382/></p><p>Информация о событиях такого рода показывается членам рабочей группы на стартовых страницах или приходит по почте. На рис. 11 и 12 приведены примеры таких оповещений: </p><p><strong>Рис. 12. Оповещение об изменениях в рабочей области, отправленное по почте.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/12.jpg alt=Оповещение об изменениях в рабочей области, отправленное по почте width=424 height=174/></p><p>Еще раз упомяну, что одной из ярких особенностей сервиса Office является возможность использования Office Web App в браузере при отсутствии настольного комплекта приложений Microsoft Office. Это значительно облегчает решение задачи редактирования документов в походных условиях. </p><p><strong>Рис. 13. Интерфейс Microsoft Word Web App в режиме редактирования документа.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/13.jpg alt=Интерфейс Microsoft Word Web App в режиме редактирования документа width=521 height=279/></p><p>Впрочем, при наличии пакета приложений Microsoft Office 2007 SP2 или Microsoft Office 2010 на компьютере документ можно открывать локально и затем сохранять сразу на SkyDrive, не используя веб-версию приложения.</p><p>Важный момент совместного использования рабочего пространства - это регулирование конфликтов доступа к одним и тем же объектам на сервере. В Office (на SkyDrive) эта ситуация разрешается таким образом: когда пользователь пытается открыть документ, который уже находится в режиме редактирования, доступ к документу блокируется (рис. 14).</p><p><strong>Рис. 14. Блокировка одновременного доступа к документу</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/14.jpg alt=Блокировка одновременного доступа к документу width=409 height=337/></p><p>Обмен мгновенными сообщениями и контроль присутствия уже стали сейчас неотъемлемым элементом совместной работы. Сервисы Live взаимосвязаны и прекрасно дополняют друг друга. Функциональность Office Live Small Business для организации полноценной совместной работы органично дополняется возможностями Групп Windows Live и службы Messenger.</p><p>Сервису <strong>Messenger</strong> нашлось применение не только как приложению для обмена мгновенными сообщениями. Учетные записи всех участников проекта, через Группы, целесообразно включить в общую виртуальную сеть общения. После этого, посредством Messenger можно будет видеть информацию о присутствии сотрудников, в статусах - их текущую деятельность, а в настольной версии приложения Windows Live Messenger также получать оповещения обо всех изменениях в виртуальной сети контактов и приходе новой почты, что значительно снижает общее время реагирования на события. </p><p>Как и в ситуации работы с документами, современная версия сервиса Messenger не требует обязательной установки клиентского приложения локально. В настоящий момент сервис интегрирован с почтовой службой и имеет веб-интерфейс, расширенная версия которого может быть доступна по адресу: <strong>SID</strong><strong>_пользователя/</strong><strong>mail</strong><strong>.</strong><strong>live</strong><strong>.</strong><strong>com</strong><strong>/Handlers/WebIM.mvc.</strong></p><p><strong>Рис. 18. Расширенная версия веб-интерфейса для Messenger.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/18.jpg alt=Расширенная версия веб-интерфейса для Messenger width=519 height=247/></p><h2>Присутствие бизнеса в Интернет</h2><br/><p>Для реализации присутствия бизнеса (в выбранном сценарии - рабочей группы проекта) в пространстве Интернет, в Office Live for Small Business предоставляется 500 Мб для бесплатного хостинга сайта, с возможностью покупки дополнительного пространства. Опция <strong>Domain Manager</strong> в разделе <strong>Build Your Web Site</strong> стартовой страницы сервиса позволяет управлять доменным именем вашего веб-сайта: бесплатно зарегистрировать его в пространстве officelive.com или перенаправить на уже существующее доменное имя. Перенаправление возможно в двух вариантах: только веб-сайта и веб-сайт + почта (рис. 15). После изменения доменного суффикса для учетных записей почты, получение почты на эти учетные записи может быть возможно только после повторной регистрации почтового ящика с новым именем на Office Live Small Business. Обработка перенаправления занимает от 24 до 72 часов.</p><p><strong>Рис. 15. Мастер перенаправления доменного имени.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/15.jpg alt=Мастер перенаправления доменного имени width=520 height=246/></p><p>Для входа в режим управления контентом сайта (рис. 16) достаточно воспользоваться пунктом <strong>Web Site</strong> в главном меню. В этом режиме через Панель задач с правой стороны можно загрузить различного рода ресурсы, которые потом будут использованы на веб-страницах (опции Image, Document и Template Gallery) и просмотреть отчеты по посещаемости страниц (опция Reports), которые, кстати, являются хорошим инструментом статистического контроля эффективности эксплуатации веб-сайта. Имеется возможность резервного копирования и восстановления сайта из резервной копии.</p><p><strong>Рис. 16. Страница управления контентом сайта.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/16.jpg alt=Страница управления контентом сайта width=520 height=251/></p><p>Сам сайт создается в среде визуального веб-редактора, на основе готовых или пользовательских шаблонов. Редактор обладает богатыми возможностями по созданию структуры сайта и его оформлению (рис. 17). Для опытных пользователей предусмотрен продвинутый режим, в котором можно подключать динамический контент (документы, списки, календари и проч.), размещаемый в библиотеках и рабочих областях Business Applications (опция Module в меню редактора).</p><p><strong>Рис. 17. Web-редактор сайта.</strong></p><p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2011-02-15/17.jpg alt=Web-редактор сайта width=521 height=286/></p><h2>Выводы</h2><p><br/>Подводя итог моему обзору, можно сказать, что сервисы Microsoft Office Live Small Business, не смотря на то, что их основное предназначение - помощь малому бизнесу в выходе во внешний мир, являются также вполне адекватным и практически бесплатным инструментом для организации коллективной работы через Интернет. </p><p>Все сервисы Live прекрасно дополняют друг друга, несмотря на различную целевую аудиторию. Их возможности во многом превосходят аналогичные решения от конкурентов. </p><p>Практически весь функционал сервисов доступен через веб-интерфейс, и как продемонстрировано в данной статье, для работы в полевых условиях требуется лишь браузер.</p><p>Эти сервисы не стоят на месте, и непрерывно развиваются - Microsoft продолжает работу, направленную на тесную интеграцию всех составляющих семейство Live компонентов. </p> http://www.microsoft.com/rus/business/smb/blog/06/ Microsoft for Business <h2>Планирование внедрения служб Active Directory</h2><br/><p>В&nbsp;организациях среднего и&nbsp;крупного бизнеса для обеспечения идентификации, доступа, упрощения управления и&nbsp;аудита пользователями и&nbsp;ресурсами, а&nbsp;также создания масштабируемой, безопасной и&nbsp;управляемой инфраструктуры целесообразно разворачивать доменные службы Active Directory, которые являются одним из&nbsp;наиболее важных компонентов во&nbsp;всей IT-среде. Правильное развертывание доменных служб позволяет использовать все преимущества централизованной делегированной модели управления и&nbsp;возможности единого входа. В&nbsp;свою очередь, перед развертыванием и&nbsp;эксплуатацией данных служб, начинающие и&nbsp;не&nbsp;опытные администраторы пренебрегают важнейшим этапом внедрения&nbsp;- планированием, которое должно осуществляться строго в&nbsp;соответствии с&nbsp;требованиями организации. Перед началом планирования вы&nbsp;должны определить цель развертывания служб каталогов в&nbsp;организации, затем создать логическую структуру доменных служб, соответствующих потребностям каждого филиала и&nbsp;подразделений, которые должны использовать эти службы. На&nbsp;этом этапе вам нужно определить количество лесов, продумать, каким образом их&nbsp;разбить на&nbsp;домены, спланировать пространство имен, структуру организационных единиц и&nbsp;тщательно протестировать полученную структуру организации на&nbsp;лабораторных стендах до&nbsp;внедрения в&nbsp;рабочую среду. Прежде всего, успех стратегии развертывания доменных служб напрямую зависит от&nbsp;правильной оценки текущей среды и&nbsp;определения задач, причем немаловажным для решения поставленных задач является конфигурация существующей сети организации, которая, скорее всего, потребует реструктурирования сетевых служб некоторых филиалов в&nbsp;случае корпоративного приобретения новых единиц инфраструктуры.</p><h2>Определение требований доменных служб организации</h2><br/><p>Перед определением количества лесов и&nbsp;разбивкой их&nbsp;на&nbsp;домены, необходимо исследовать все возможные технологии, предназначенные для решения внедрения новых возможностей бизнеса и&nbsp;поставленных перед компанией задач. Во&nbsp;время проектирования доменных служб в&nbsp;любой организации также обязано участвовать и&nbsp;руководящее звено, которое будет основным потребителем всей полученной инфраструктуры, степень вовлеченности которой напрямую будет зависеть от&nbsp;профиля организации. Именно руководство должно определить количество лесов и&nbsp;доменов, которые по&nbsp;окончании развертывания будет не&nbsp;просто исключить из&nbsp;полученной инфраструктуры предприятия. Все основные требования дизайна инфраструктуры доменных служб организации распределяются на&nbsp;такие требования, как:</p><ul><li>Бизнес-требования к&nbsp;проектной документации;</li><li>Функциональные требования к&nbsp;проектной документации;</li><li>Соглашения об&nbsp;уровне предоставления услуг;</li><li>Юридические требования к&nbsp;документации;</li><li>Требования безопасности организации;</li><li>Проектные ограничения к&nbsp;документации.</li></ul><p>Все указанные выше требования будут подробно рассмотрены в&nbsp;следующих подразделах.</p><h2>Бизнес-требования к&nbsp;проектной документации</h2><br/><p>Бизнес-требованием называется определение назначения программного обеспечения, которое записывается в&nbsp;документе о&nbsp;видении и&nbsp;границах проекта. К&nbsp;бизнес-требованиям доменных служб можно отнести соответствие внешним требованиям, которые могут исходить от&nbsp;партнеров по&nbsp;бизнесу или правительства страны, таким как гарантия конфиденциальности и&nbsp;неразглашения данных. Помимо этого, к&nbsp;одному из&nbsp;бизнес-требований можно отнести определение способности повышения конкурентоспособности предоставленной последней версии текущей технологии. Еще к&nbsp;таким требованиям относятся преимущества, которые можно получить во&nbsp;время эксплуатации технологий организации, что может существенно повысить потенциальные возможности многих средств. В&nbsp;том случае, если в&nbsp;текущей технологии будет обнаружена нестабильность, она должна быть задокументирована&nbsp;и, для достижения необходимой стабильности, руководящее звено обязано определить, стоит&nbsp;ли переходить на&nbsp;данную технологию или от&nbsp;нее отказаться. В&nbsp;связи со&nbsp;всеми вышеперечисленными требованиями, вы&nbsp;должны знать бизнес-задачи организации и&nbsp;обязаны попросить, чтобы вам были предоставлены бизнес-требования, описанные в&nbsp;специальной документации в&nbsp;краткой и&nbsp;понятной для проектирования доменных служб форме.</p><h2>Функциональные требования к&nbsp;проектной документации</h2><br/><p>К&nbsp;функциональным требованиям относятся определения ожидаемого поведения полученной инфраструктуры организации, исходящей из&nbsp;бизнес-требований, которые должны быть описаны в&nbsp;функциональной спецификации (законченном описании поведения системы, которое требуется разработать). Если бизнес-требования определяют задачи организации, то&nbsp;функциональные требования важны по&nbsp;таким причинам как обеспечение деталей проекта, предназначенных для того чтобы команда по&nbsp;развертыванию инфраструктуры могла координировать корректность решения поставленной задачи, установление оптимального решения в&nbsp;соответствии с&nbsp;ожиданиями потребителей между командой по&nbsp;развертыванию и&nbsp;потребителями доменных служб. Помимо этого при помощи функциональных требований определяется количество ресурсов затрачиваемых командой по&nbsp;развертыванию.</p><h2>Соглашения об&nbsp;уровне предоставления услуг</h2><br/><p>Соглашением об&nbsp;уровне предоставления услуг (Service Level Agreement&nbsp;- SLA) является формальный документ, который заключается между заказчиком и&nbsp;группой, предоставляющей услуги по&nbsp;разработке инфраструктуры доменных служб, содержащий описание услуги, права и&nbsp;обязанности сторон, а&nbsp;также определение ожидаемого уровня быстродействия и&nbsp;качества предоставления услуги. Для того чтобы соблюсти SLA, поставщик услуг в&nbsp;свою очередь заключает операционное соглашение об&nbsp;уровне услуг (OLA) с&nbsp;другими внутренними подразделениями от&nbsp;которых зависит качество предоставления услуг. Параметры качества услуги, указанные в&nbsp;SLA должны быть измеримыми, то&nbsp;есть представимыми в&nbsp;виде числовых метрик. Например, требования могут быть согласованны с&nbsp;производительностью (к&nbsp;примеру, все пользователи должны иметь возможность войти в&nbsp;доменные службы Active Directory в&nbsp;течение 10&nbsp;секунд после ввода учетных данных) или доступ к&nbsp;приложениям должен быть предоставлен на&nbsp;протяжении&nbsp;99% рабочего и&nbsp;нерабочего дня для всех пользователей, расположенных в&nbsp;интра- и&nbsp;экстрасети. Модель SLA может включать в&nbsp;себя следующие разделы:</p><ul><li>Определение предоставляемых услуг и&nbsp;сроки действия соглашения;</li><li>Распределение дней и&nbsp;часов предоставления услуг, включая тестирование, поддержку и&nbsp;модернизации;</li><li>Число и&nbsp;размещение пользователей и&nbsp;оборудования, которые используют данную службу;</li><li>Описание процедуры запросов на&nbsp;изменение;</li><li>Минимальная доступность для каждого пользователя;</li><li>Максимальное время отклика для каждого пользователя;</li><li>Описание платежей, связанных с&nbsp;услугами;</li><li>Подготовка, поддержка соответствующих конфигураций оборудования, программного обеспечения или его изменения только в&nbsp;соответствии с&nbsp;процедурой изменения при использовании услуг;</li><li>Процесс улучшения SLA.</li></ul><p>В&nbsp;большинстве случаев основа исходных соглашений SLA формируется на&nbsp;бизнес-требованиях, а&nbsp;также функциональных и&nbsp;нефункциональных требованиях, а&nbsp;проектная группа и&nbsp;бизнес-спонсоры отвечают за&nbsp;детализацию итогового SLA, приемлемую цену и&nbsp;уровень ожиданий.</p><h2>Юридические требования к&nbsp;документации</h2><br/><p>В&nbsp;наше время для хранения, сбора и&nbsp;передачи информации между предприятиями используются информационные технологии. В&nbsp;связи с&nbsp;этим большинство стран установили определенные требования, которые регламентируют условия конфиденциальности и&nbsp;защищенности данных. В&nbsp;Европе для этих целей была создана <strong>Директива о&nbsp;защите данных Европейского Союза (European Union Data Protection Directive, EUDPD)</strong>, которой придерживаются большинство стран Европы. Эта директива стандартизирует защиту конфиденциальности данных для граждан по&nbsp;всему Европейскому Союзу (ЕС) и&nbsp;содержит базовые требования, которые все государства-участники должны реализовать в&nbsp;своих национальных законодательствах. Благодаря ограничениям, налагаемым этой директивой на&nbsp;отправку личных сведений за&nbsp;пределы Европейского Союза, EUDPD оказывает влияние на&nbsp;защиту конфиденциальной личной информации за&nbsp;пределами Европейского Союза. Обычно EUDPD разрешает подобную передачу только в&nbsp;регионы, где, как предполагается, реализованы соответствующие стандарты для различных вопросов, включая защиту данных. Установленное Директивами, Регламентами и&nbsp;Решениями органов&nbsp;ЕС право является правом особого рода, так как для составителей проектной инфраструктуры, содействующих осуществлению принципов, изложенных в&nbsp;таких правовых актах, предоставляются дополнительные права, например, право на&nbsp;ограничение дальнейшего вмешательства в&nbsp;составление доменных служб. Помимо указанной выше декларации группе, предоставляющей услуги по&nbsp;разработке инфраструктуры доменных служб, также стоит придерживаться требований, которые предоставляют юристы заказчика.</p><p>Например, некоторые данные организации, которые должны быть полностью конфиденциальными вы&nbsp;можете хранить в&nbsp;отдельном лесе доменных служб вместе с&nbsp;пользовательскими учетными данными, имеющими права на&nbsp;их&nbsp;использование, но&nbsp;так как данные не&nbsp;должны выходить за&nbsp;пределы вашей организации, в&nbsp;то&nbsp;же время должна быть задействована служба управления правами Active Directory. Или в&nbsp;том случае, если планируется сотрудничество нескольких организаций с&nbsp;использованием служб федерации Active Directory, определите, будет&nbsp;ли в&nbsp;организации размещаться веб-ресурс, к&nbsp;которому необходимо предоставить доступ другим организациям через Интернет, или&nbsp;же этот веб-ресурс будет доступен сотрудникам только конкретной организации.</p><h2>Требования безопасности организации</h2><p><br/>Одной из&nbsp;ключевых ролей в&nbsp;планировании и&nbsp;развертывании доменных служб является требование безопасности организации, так как безопасная инфраструктура влияет на&nbsp;конфиденциальность данных и&nbsp;функционирование всей организации в&nbsp;целом. На&nbsp;этом этапе, прежде всего, вам нужно определить какие требования безопасности используются в&nbsp;организации на&nbsp;данный момент, а&nbsp;что вам предстоит внедрить во&nbsp;время развертывания доменной инфраструктуры. Вам нужно опередить, какие существуют несоответствия для выполнения требований безопасности на&nbsp;данный момент. Несоответствия бывают в&nbsp;большинстве случаев, причем для каждой организации они могут быть разными. Если несоответствия будут обнаружены на&nbsp;этапе планирования, но&nbsp;никакие меры не&nbsp;будут предприняты, то, в&nbsp;конечном счете, пострадать может вся инфраструктура предприятия. Вам необходимо определить, какие задачи должны быть реализованы для системы безопасности всей организации, включая сеть на&nbsp;всех филиалах. </p><p>Например, в&nbsp;филиалах компании, где администраторы компании не&nbsp;могут гарантировать физическую безопасность помещать контроллер домена весьма опасно. Стоит помнить о&nbsp;том, что контроллер домена поддерживает копии всех атрибутов для всех объектов в&nbsp;своем домене, включая такие атрибуты, как данные пользовательских паролей, что является секретной информацией. Поэтому вы&nbsp;должны разворачивать в&nbsp;филиалах контроллеры домена только для чтения и&nbsp;развернуть политику репликации паролей, которая разрешит кэширование пользовательских учетных записей на&nbsp;контроллере RODC. И&nbsp;поскольку контроллер домена только для чтения поддерживает только ограниченный набор учетных записей пользователей, то&nbsp;в&nbsp;случае его взлома или физического хищения ущерб безопасности будет также ограниченным.</p><p>Учтите, что бизнес-требования могут конфликтовать с&nbsp;требованиями безопасности, поэтому вам необходимо искать наиболее оптимальные варианты, чтобы организация была максимально защищена не&nbsp;обходя все требования предоставленные вам заказчиком.</p><h2>Проектные ограничения к&nbsp;документации</h2><br/><p>Проектное ограничение определяет параметры всего проекта и&nbsp;согласовывается специальной проектной группой с&nbsp;соглашением об&nbsp;уровне предоставления услуг и&nbsp;бизнес-требованиям организации. Основными составляющими такого ограничения являются ограничения возможностей, ресурсные ограничения, а&nbsp;также ограничения графика проекта. Простым примером ограничения возможностей может послужить не&nbsp;совместимость компании или недоступность перехода на&nbsp;новый продукт, в&nbsp;связи с&nbsp;чем, необходимо отказаться или от&nbsp;внедрения нового проекта, или от&nbsp;модификации самой области проекта. Всем известно, что основной составляющей ресурсных ограничения является бюджет самого проекта, то&nbsp;есть, если у&nbsp;организации-заказчика недостаточно материальных средств для приобретения необходимого оборудования, то&nbsp;продолжить развертывание доменных служб в&nbsp;организации опять не&nbsp;получится. Также на&nbsp;реализацию всего проекта может повлиять график реализации проекта&nbsp;и, если модификация всей инфраструктуры предприятия может совпасть с&nbsp;важным моментом в&nbsp;жизнедеятельности организации, то&nbsp;могут возникнуть серьезные трудности, как со&nbsp;стороны заказчика, так и&nbsp;со&nbsp;стороны группы, разворачивающей доменные службы в&nbsp;организации.</p><h2>Пример фрагмента соглашения об&nbsp;уровне предоставления услуг</h2><br/><p>Приводить весь документ соглашения об&nbsp;уровне предоставления услуг нецелесообразно, так как его объем достаточно большой. В&nbsp;качестве примера ниже приведена часть приложения такого соглашения, в&nbsp;которой отображены уровни сложности поддержки, которые включают в&nbsp;себя такие компоненты как время отклика на&nbsp;возникшие инциденты, а&nbsp;также ориентировочное время, предназначенное для решения проблем разной сложности:</p><p><strong>Приложение&nbsp;3.Б</strong></p><p><em>Уровни сложности поддержки</em></p><p>В&nbsp;случае возникновения проблемных ситуаций, появившихся по&nbsp;окончании процесса развертывания инфраструктуры доменных служб реализованных стороной исполнителя, время отклика зависит от&nbsp;уровня сложности неисправности, которые предоставлены в&nbsp;следующе таблице:</p><div><table><tbody><tr><td><strong>Время отклика</strong></td><td><strong>Приоритет</strong></td><td><strong>Отклик</strong></td></tr><tr><td>Высокое</td><td>Критический</td><td>2&nbsp;часа (75%)</td></tr><tr><td>Среднее</td><td>Высокий</td><td>4&nbsp;часа (60%)</td></tr><tr><td>Среднее</td><td>Средний</td><td>1&nbsp;день (80%)</td></tr><tr><td>Низкое</td><td>Низкий</td><td>2&nbsp;день (80%)</td></tr></tbody></table></div><p><em>Время инцидента, предназначенное для решения проблем разной сложности</em></p><p>Время инцидента (ориентировочное время), предназначенное для решения проблем вычисляется как разница между временем назначением исполнителем и&nbsp;временем полного закрытия проблемы.</p><table><tbody><tr><td><strong>Приоритет</strong></td><td><strong>Решение</strong></td></tr><tr><td>Критический</td><td>6&nbsp;часов</td></tr><tr><td>Высокий</td><td>1&nbsp;рабочий день</td></tr><tr><td>Средний</td><td>Рабочая неделя</td></tr><tr><td>Низкий</td><td>Рабочая декада</td></tr></tbody></table> http://www.microsoft.com/rus/business/smb/blog/05/ Microsoft for Business <p>В любой компании так или иначе существует достаточно много различных бизнес-данных, которые со временем только растут (причем, с очень большой скоростью). Очень важный вопрос как раз состоит в том - как правильно эти накопленные знания анализировать и принимать на их основе правильные бизнес-решения. Поэтому,</p> <p><strong>Business Intelligence</strong> (BI) - это широкий набор технологий и приложений для сбора, хранения и анализа данных, помогающий корпоративным пользователям в принятии решений на основе этой информации. BI-приложения включают в себя инструменты для решения задач отчетности, анализа данных, статистического анализа, прогнозирования, планирования, поиска скрытых закономерностей и многого другого.</p> <p>BI используется для понимания текущего состояния бизнеса и направлений его движения, совместной работы пользователей над анализом информации, сокращения времени принятия решений.</p> <p>Таким образом, получаем, что:</p> <p><strong>Бизнес-аналитика</strong> - это инструмент, с помощью которого можно принимать правильные (а, может, и не очень) бизнес-решения. (<a href="http://ru.wikipedia.org/wiki/%D0%91%D0%B8%D0%B7%D0%BD%D0%B5%D1%81-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0">wiki</a>)</p> <h2>Этапы бизнес-аналитики в компании:</h2> <p> </p> <p>Жизненный цикл бизнес-аналитики в компании обычно состоит из трех важных частей (циклически замкнутых):</p> <ul> <li><strong>Планирование</strong>. На первом этапе в компании планируются стратегические цели, количественные показатели, в общем, все то, чего хочет достичь компания за предстоящий финансовый период.</li> <li><strong>Мониторинг</strong>. Этот этап один из самых длительных, в течение которого происходит мониторинг того, что происходит в компании, т. е. осуществляется просмотр фактических данных, от тех которые мы запланировали на первом этапе. Если коротко охарактеризовать те вопросы, которые задаются, то это будут: ";Что происходит?";, ";Что произошло?";</li> <li><strong>Анализ</strong>. И на последнем этапе компания анализирует то, что произошло, делает выводы (почему так, чего можно избежать).</li></ul> <p>Далее, после подведения итогов на этапе анализа, снова переходим к этапу планирования, корректируем цели, если необходимо.</p> <h2>Сценарии бизнес-аналитики от Microsoft</h2> <p> </p> <p>При этом выделяется 3 сценария бизнес-аналитики:</p> <p>1. <strong>Индивидуальный (персональный)</strong> сценарий. Предназначен для помощи конечным пользователям в их каждодневной и самостоятельной работе, когда им не нужно взаимодействовать с другими сотрудниками. Типичная задача персонального BI - менеджер по продажам анализирует результаты своей текущей работы за неделю.</p> <p>2. <strong>Коллективный</strong> сценарий. Включает в себя средства для обмена информацией между сотрудниками в рамках подразделения. Например, отдел продаж анализирует итоги своей работы за последний месяц, при этом идет сравнение результатов по продуктовым сегментам или по отдельным сотрудникам. Основным ограничением этого способа организации BI является то, что информация предоставляется и изменяется всеми пользователями, поэтому в таких условиях сложно гарантировать полную достоверность и непротиворечивость данных. Например, руководитель каждого отдела может разработать свой набор отчетов и показателей, которые не всегда могут быть однозначно сопоставлены с данными, приходящими из других отделов.</p> <p>3. <strong>Корпоративный</strong>. На корпоративном уровне, когда речь идет о принятии стратегических решений, достоверность информации выходит на первый план (пусть даже в ущерб оперативности обновления). Потребителями такой информации являются, в основном, члены совета директоров, акционеры, внешние контролирующие органы. Для <strong><em>корпоративного BI</em></strong> важен четкий набор общепринятых в компании показателей, алгоритмов их расчета и методов интерпретации результатов.</p> <h2>Платформа ";Microsoft Business Intelligence";</h2> <p> </p> <p>В развитии собственных решений для бизнес-анализа Microsoft придерживается стратегии ";BI для всех";. Это означает, что любой бизнес-пользователь и ИТ-специалист найдет среди продуктов Microsoft тот набор инструментов, который позволит ему решить текущие задачи.</p> <p>Одной из основных проблем при внедрении крупной автоматизированной системы, в том числе BI-системы, является сложность принятия ее конечными пользователями, которые не хотят осваивать новые интерфейсы. Поэтому Microsoft не разрабатывает специализированных инструментов для бизнес-анализа, и весь функционал BI сосредотачивает в приложениях Microsoft Office, привычных большинству бизнес-пользователей. С каждой версией пакет Microsoft Office обогащается дополнительными возможностями для бизнес-анализа и отображения полученных результатов. Кроме того, выпускаются дополнительные модули (add-ons), которые позволяют еще более расширить функционал приложений.</p> <p>Майкрософт предлагает платформу бизнес-аналитики, состоящую из трех блоков:</p> <ul> <li><strong>SQL Server 2008 R2</strong>, который покрывает все задачи, связанные с инфраструктурой данных для BI-системы, такие как: <ul> <li>Интеграция и сбор данных из различных источников, их очистка и загрузка в хранилище через механизмы ETL (SQL Server Integration Services)</li> <li>Обеспечение хранения данных в реляционной форме и поддержание связанных с этим процедур безопасности, надежности, производительности и т. п. (SQL Server Database Engine)</li> <li>Организация витрин данных и построение аналитических OLAP-моделей (SQL Server Analysis services)</li> <li>Построение фиксированной отчетности и визуализация аналитических данных (SQL Server Reporting Services)</li></ul></li> <li>2. <strong>SharePoint Server 2010</strong>, который предоставляет механизмы для совместной работы, публикации и доставки отчетности, а также для визуализации результатов через различные сервисы</li> <li>3. <strong>Microsoft Office Excel 2010</strong> и <strong>Microsoft Visio 2010</strong>, которые являются основными инструментами конечного пользователя для работы с персональной аналитикой, с понятным пользовательским интерфейсом и гибкими возможностями по персонализации получаемой отчетности и по работе с данными</li> </ul> <p><img src="http://blogs.technet.com/cfs-filesystemfile.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-84-62-metablogapi/0044.bi1_5F00_thumb_5F00_28CE874A.jpg" /></p> <h2>Преимущества бизнес-аналитики, которые получают наши клиенты:</h2> <p> </p> <p>Поэтому система бизнес-аналитики предоставляет оперативный мониторинг деятельности компании, используя хорошо знакомые инструменты Microsoft:</p> <ul> <li>Составлять детализированные, оперативные отчеты о деятельности компании</li> <li>В наглядной форме анализировать большие объемы информации, эффективно прогнозировать, планировать и принимать верные бизнес-решения</li> <li>Внедрять системы поощрения сотрудников по результатам работы</li> <li>Видеть и анализировать результаты работы компании в оперативном режиме</li> <li>Компания получает единую версию правдивых бизнес-данных</li> <li>Сотрудники компании получают возможность анализировать свою работу в знакомом интерфейсе (Excel)</li> </ul> <p>Все эти возможности позволяют принимать обоснованные стратегические решения, видеть результаты работы каждого сотрудника и компании в целом, а также сокращают время на подготовку и анализ отчетов.</p> <h2>Основные этапы внедрения бизнес-аналитики</h2> <p>Любое ИТ внедрение бизнес-аналитики сопровождается 3 этапами. Данные для бизнес-анализа поступают в BI-систему из различных внешних источников: ERP и CRM систем, приложений для биллинга. Также могут использоваться неструктурированные данные из электронных таблиц и текстовых файлов, (в которых записи, например, ограничиваются заданными символами-разделителями), либо обмен данными может осуществляться с помощью web-сервисов (например, биржевые данные от Bloomberg). Все эти данные аккумулируются в хранилище данных (Data Warehouse, DWH).</p> <p>Чтобы данные из всех этих разрозненных источников можно было сопоставлять между собой и оперировать ими в рамках единого информационного пространства, необходимо выполнить над ними ряд преобразований - извлечь данные из внешних систем (Extract), трансформировать их к единому виду (Transform) и загрузить уже прошедшие первичную обработку данные в хранилище данных (Load). Эти три последовательных процесса Extract-Transform-Load объединены в общий класс так называемых ETL-алгоритмов, которые являются важной и неотъемлемой частью BI-системы. Таким образом, мы получаем первый этап - <strong>построение хранилища</strong>. Зачастую, собрать данные воедино сложно, поскольку:</p> <ul> <li>Данные находятся в различных системах в разном формате</li> <li>Данные тяжело вытащить из этих приложений</li> <li>Данных попросту нет, они находятся зачастую в головах сотрудников</li> </ul> <p>Как правило, для бизнес-анализа нужны не все детализированные записи по каждой произведенной операции, находящиеся в хранилище, а агрегированные данные (например, суммарные продажи товаров по категориям и по регионам). Поэтому для ускорения процессов обработки запросов к данным над хранилищем строятся OLAP-кубы (On-Line Analythical Processing) и витрины данных (Datamarts). Они хранят данные, уже просуммированные по определенным показателям и в определенных разрезах, и построены так, чтобы охватывать заданную предметную область (например, продажи или управление персоналом и т.п.).</p> <p>При этом одни и те же данные могут содержаться в системе в разных вариантах или под разными углами зрения – например, продажи по регионам без учета заказчиков и, наоборот, продажи в разрезе заказчиков, но без учета регионов. Таким образом, для выполнения запроса пользователя будет выбран наиболее подходящий для данной задачи OLAP-куб, что позволит значительно повысить производительность обработки, поскольку данные в этом кубе будут уже сразу представлены в необходимом пользователю виде. Далее, на основе аналитических данных мы строим необходимые для компании отчеты. Данный этап обычно называется этапом <strong>построения отчетности</strong>.</p> <p><strong>Управление отчетностью</strong>. На этом этапе нам важно, чтобы все отчеты были всегда релевантны бизнес-процессам компании, чтобы всегда были правильно настроены права доступа к этим отчетам, и удобство/скорость работы с ними было на должном уровне.</p> <p><img src="http://blogs.technet.com/cfs-filesystemfile.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-84-62-metablogapi/4744.bi3_5F00_thumb_5F00_50D1109C.jpg" /></p> <h2>Веб-каст</h2> <p> </p> <h2>Ссылки в тему:</h2> <p> </p> <p>1. Microsoft BI - <a href="http://www.microsoft.com/BI/">http://www.microsoft.com/BI/</a></p> <p>2. MSDN Blogs > PerformancePoint Services<a href="http://blogs.msdn.com/b/performancepoint/"> - http://blogs.msdn.com/b/performancepoint/</a></p> <p>3. Блог Ивана Косякова,посвященный Microsoft Business Intelligence - <a href="http://microsoftbi.ru/">http://microsoftbi.ru/</a></p> <p>4. Блог Максима Войцеховского - <a href="http://proit.voytsekhovsky.ru/" title="http://proit.voytsekhovsky.ru/">http://proit.voytsekhovsky.ru/</a></p> http://www.microsoft.com/rus/business/smb/blog/04/ Microsoft for Business <p><br /> Данная статья открывает цикл статей «Сервера в малом бизнесе: просто и доступно», демонстраций, веб- и скрин-кастов для малого бизнеса. Почему для малого? Да потому что именно в нем ярко выражен колоссальный разрыв между руководством, техническими специалистами и непосредственно работниками компании. Зачастую этот разрыв слишком велик, что приносит много проблем:</p> <ul> <li>Руководству – отсутствие понимания того, что есть сейчас и что возможно в перспективе,</li> <li> Техническому специалисту – начинается «звездная» болезнь, так как никто не понимает и, по сути, не контролирует,</li> <li> Персоналу – приходится использовать то, что есть, а это зачастую идет не на пользу производительности и удобству работы.</li> </ul> <p>Учитывая финансовую нестабильность последних лет, именно эти компании были подвержены многим проблемам на пути своего существования. Сторонникам open source решений, сторонникам использовать под каждую задачу свой софт, или иметь софт с повторяющимся функционалом будет не совсем привычно читать этот цикл, поскольку я буду ориентироваться на платформу Microsoft Windows. Именно на платформу, а не на отдельные её части. Такая стандартизация также влияет на работоспособность компании, её затраты. Сравните стоимость лицензионного программного продукта, интерфейс которого знаком почти каждому, и затраты на обучение и консультации пользователя, который будет работать с неизвестным, но бесплатным софтом. А поддержка этого продукта? А его обновление или безопасность? Это тема для отдельной статьи, и к ней мы вернемся. :)</p> <p>Идея написать этот цикл родилась не спонтанно. Давно были мысли простым языком рассказать об ИТ для людей, которые не входят в число технических специалистов, но которые в той или иной степени зависят от работы ИТ. Писать об азах для технических специалистов мне было не интересно – кто это будет читать? Писать для руководителей о возможностях новой платформы или нового продукта – они и старым-то не пользовались.</p> <p>Я даже на примере своих родственников, друзей, знакомых, которые работают в разных отраслях промышленности и сферы услуг, вижу многие проблемы и несоответствия (чему?). Есть разные уровни проблем, одни для руководства, другие для простых сотрудников. Но они есть! И я очень надеюсь, что смогу в своих статьях помочь в их решении. Пусть этот разрыв станет меньше, повышая производительность труда, что соответственно будет способствовать увеличению прибыли компании и наполнению кошельков сотрудников.</p> <p>Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?</p> <p>Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.</p> <p>В первой статье и пойдет речь о таком фундаменте – службах Active Directory. Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…</p> <p>А разговор начнем с простых понятий – домена и служб Active Directory.</p> <p><em>Домен</em> – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.</p> <p><em>Службы Active Directory (службы активного каталога) </em>представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.</p> <p>База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.</p> <p>Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.</p> <p>Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.</p> <p>Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.</p> <p><strong>1. Единая точка аутентификации</strong></p> <p>В&nbsp;рабочей группе на&nbsp;каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из&nbsp;сотрудников захочет сменить свой пароль, то&nbsp;его нужно будет поменять на&nbsp;всех компьютерах и&nbsp;серверах. Хорошо, если сеть состоит из&nbsp;10&nbsp;компьютеров, но&nbsp;если&nbsp;их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в&nbsp;одной базе данных, и&nbsp;все компьютеры обращаются к&nbsp;ней за&nbsp;авторизацией. Все пользователи домена включаются в&nbsp;соответствующие группы, например, "Бухгалтерия", "Финансовый отдел". Достаточно один раз задать разрешения для тех или иных групп, и&nbsp;все пользователи получат соответствующий доступ к&nbsp;документам и&nbsp;приложениям. Если в&nbsp;компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в&nbsp;соответствующую группу,&nbsp;- сотрудник получает доступ ко&nbsp;всем ресурсам сети, к&nbsp;которым ему должен быть разрешён доступ. Если сотрудник увольняется, то&nbsp;достаточно заблокировать&nbsp;- и&nbsp;он&nbsp;сразу потеряет доступ ко&nbsp;всем ресурсам (компьютерам, документам, приложениям).</p> <p><strong>2. Единая точка управления политиками</strong></p> <p>В&nbsp;рабочей группе все компьютеры равноправны. Ни&nbsp;один из&nbsp;компьютеров не&nbsp;может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и&nbsp;компьютеры иерархически распределяются по&nbsp;организационным подразделениям, к&nbsp;каждому из&nbsp;которых применяются единые групповые политики. Политики позволяют задать единые настройки и&nbsp;параметры безопасности для группы компьютеров и&nbsp;пользователей. При добавлении в&nbsp;домен нового компьютера или пользователя, он&nbsp;автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.</p> <p><strong>3. Повышенный уровень информационной безопасности</strong></p> <p>Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.</p> <p><strong>4. Интеграция с корпоративными приложениями и оборудованием</strong></p> <p>Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.</p> <p><strong>5. Единое хранилище конфигурации приложений</strong></p> <p>Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.</p> <p>Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).</p> <p>В следующих статьях мы рассмотрим различные надстройки над службами Active Directory, которые помогут упростить жизнь техническому персоналу и эффективнее решать бизнес-задачи остальным специалистам компании. Также планируется к каждой статье делать небольшой скрин-каст или демонстрацию.</p> <p>&nbsp;</p> http://www.microsoft.com/rus/business/smb/blog/03/ Microsoft for Business <p>В&nbsp;этом материале я&nbsp;прокомментирую новые возможности Outlook&nbsp;2010, отличающие его от&nbsp;версий 2003&nbsp;и&nbsp;2007. Как обычно, акцентирую внимание на&nbsp;практической пользе для планирования времени, а&nbsp;не&nbsp;на&nbsp;технических "фишках".</p> <p>В&nbsp;новой версии есть два чрезвычайно существенных изменения: работа с&nbsp;несколькими учетными записями Exchange и&nbsp;ленточные меню; а также несколько новых удобств в&nbsp;работе с&nbsp;почтой.</p> <h2>Несколько учетных записей Exchange</h2> <p><br /> Приятно, что версия 2010&nbsp;решила серьезную проблему, с которой зачастую сталкиваются крупные компании при корпоративном использовании Outlook.</p> <p>Раньше Outlook мог работать только с&nbsp;одной учетной записьюExchange Server, т.&nbsp;е. корпоративного сервера, позволяющего хранить переписку, календари, задачи&nbsp;и контакты централизованно; видеть календари и&nbsp;задачи коллег.</p> <p>Это было крайне неудобно в&nbsp;следующих случаях:</p> <ol> <li>Компания имеет сложную филиальную или холдинговую структуру, при этом&nbsp;в филиалах или компаниях, входящих в&nbsp;холдинг, используются свои Exchange-серверы. При этом руководители, работающие в&nbsp;разных компаниях или филиалах, как правило нуждаются в координации своих действий, приглашении друг друга на&nbsp;встречи и&nbsp;т.&nbsp;п., но&nbsp;не могут увидеть календари друг друга в&nbsp;своем Outlook.</li> <li>Аналогичная ситуация в&nbsp;компании после слияния или поглощения&nbsp;- когда руководителям бывших "отдельных" компаний необходимо координировать свои действия, а&nbsp;IT-инфраструктура еще не&nbsp;объединена.</li> <li>Для повышения безопасности используются два Exchange, один только&nbsp;для внутренних коммуникаций, другой только для внешних (так сделано, например, в Сбербанке и&nbsp;еще некоторых крупных корпорациях). У&nbsp;секретаря руководителя или его коллег нет возможности видеть одновременно его "внутренний" календарь (на&nbsp;внутреннем Exchange) и&nbsp;"внешний" (на внешнем Exchange), который синхронизируется с&nbsp;мобильным телефоном руководителя.</li> <li>Владелец нескольких бизнесов нуждается в&nbsp;том, чтобы его календарь&nbsp;был доступен руководителям в&nbsp;каждом из&nbsp;этих бизнесов, и&nbsp;он&nbsp;сам,в свою очередь, видел календари топ-менеджеров каждой из&nbsp;своих компаний.</li></ol> <p>В&nbsp;Outlook&nbsp;2010 указанные проблемы полностью снимаются, поскольку в&nbsp;одном Outlook можно настроить учетные записи нескольких Exchange-серверов, и, соответственно, видеть календари (а&nbsp;также задачи, контакты, переписку...) коллег из&nbsp;соответствующих компаний или филиалов.</p> <h2>Второе существенное изменение: ленточные меню</h2> <p><br /> Переход на&nbsp;совершенно новую идеологию меню, сделанный в&nbsp;Word&nbsp;2007 и&nbsp;Excel&nbsp;2007, наконец добрался и&nbsp;до&nbsp;Outlook.</p> <p>Для многих пользователей новые меню стали камнем преткновения при освоении Office&nbsp;2007. Не&nbsp;скрою, я&nbsp;тоже достаточно долго привыкал к&nbsp;новому расположению привычных функций. Но&nbsp;похоже, разработчики Microsoft правы и&nbsp;новая структура действительно эргономичнее и&nbsp;удобнее&nbsp;- когда освоишься с&nbsp;ней.</p> <p>В&nbsp;Outlook&nbsp;2010 новые ленточные меню дают большее удобство в&nbsp;работе&nbsp;с пользовательскими представлениями, которые являются одним из&nbsp;основных преимуществ Outlook по&nbsp;сравнению с&nbsp;конкурирующими продуктами.</p> <p>Вспоминаю, как много времени раньше&nbsp;на тренингах "Тайм-менеджмент на&nbsp;Outlook" занимала подготовка к&nbsp;изучению пользовательских представлений. "Откройте меню Сервис&nbsp;/ Настройка... Во вкладке Команды слева выберите пункт Дополнительно в&nbsp;самом низу... Справа возьмите мышкой кнопки "Определить представления" и&nbsp;"Текущее представление", перетащите&nbsp;их на&nbsp;панель меню... Не&nbsp;пугайтесь, "Текущее представление" превратилось в&nbsp;"День&nbsp;/ неделя&nbsp;/ месяц", так и&nbsp;должно быть..." Было очень грустно, что одна из&nbsp;самых привлекательных возможностей Outlook замурована&nbsp;так глубоко, что среднестатистический пользователь никогда в&nbsp;жизни не&nbsp;отыскал бы&nbsp;ее сам.</p> <p>Теперь основные функции, связанные&nbsp;с пользовательскими представлениями, вынесены в&nbsp;ленточное меню, как показано&nbsp;на рисунке.</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/outlook/01.jpg alt= width=349 height=154 /></p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/outlook/02.jpg alt= width=450 height=280 /></p> <h2>Несколько новых удобных функций</h2> <p><strong><br /> 1. Установка "режима распространения" информации при отправке письма</strong></p> <p>При создании письма можно запретить получателям определенные действия (см.&nbsp;рисунок). Понятно, что клавишу PrintScreen никто&nbsp;не отменял, при желании информацию все равно можно будет так или иначе скопировать.</p> <p>Но&nbsp;новая функция, по&nbsp;крайней мере, поможет избежать неприятных ситуаций, когда после нескольких "ответить всем" и "переслать" до&nbsp;клиента или важного делового партнера, не&nbsp;поленившегося пролистать письмо до&nbsp;конца, доходит совершенно не&nbsp;предназначенная для него информация.</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/outlook/03.jpg alt= width=500 height=269 /></p> <p><strong>2. Группировка почты по&nbsp;обсуждению</strong></p> <p>Полезность этой функции лично у&nbsp;меня вызывает сомнения. Но&nbsp;допускаю, что многим это может быть удобно, особенно&nbsp;тем, кто до&nbsp;Outlook пользовался почтовой программой The Bat и&nbsp;привык к&nbsp;древовидной группировке обсуждений.</p> <p><strong>3. Ответ на письмо приглашением на&nbsp;собрание</strong></p> <p>Небольшое, но&nbsp;приятное удобство. Раньше то&nbsp;же самое можно было сделать, перетащив письмо в&nbsp;Календарь, в&nbsp;создавшейся встрече выбрав из&nbsp;адресной книги отправителя и&nbsp;послав ему приглашение на&nbsp;встречу. Достаточно много лишних телодвижений устранено.</p> <p><strong>4. Просмотр календаря в&nbsp;письме, приглашающем на&nbsp;встречу</strong></p> <p>В&nbsp;предыдущих версиях Outlook человек, получивший приглашение на&nbsp;встречу, должен был сделать несколько не&nbsp;очень удобных телодвижений, чтобы понять, удобно&nbsp;ли ему предложенное время встречи. Теперь соответствующий "участок" календаря виден сразу внутри календаря&nbsp;и позволяет быстро понять, удобно&nbsp;ли встречаться в&nbsp;это время.</p> <p>Для меня, правда, недостатком этой функции является&nbsp;то, что виден только один день, именно&nbsp;тот, на&nbsp;который предложена встреча. Я&nbsp;при планировании встреч мыслю не&nbsp;столько днем, сколько неделей. Мне важно видеть "окружающие" дни, только тогда я&nbsp;могу понять, удобно&nbsp;ли предложенное время встречи.</p> <p><strong>5.</strong> <strong>Более удобная работа с&nbsp;Outlook Web Access</strong></p> <p>Если вы&nbsp;пользуетесь веб-доступом к&nbsp;Outlook, так называемым OutlookWeb Access, стоит знать о&nbsp;некоторых новых возможностях (хотя строго говоря, это особенности Exchange&nbsp;2010, а&nbsp;не&nbsp;Outlook&nbsp;2010). Теперь в&nbsp;веб-доступе можно видеть&nbsp;не только собственные календари, задачи, контакты и&nbsp;почту, как было раньше, но&nbsp;и общие папки. Таким образом, одна из&nbsp;самых важных для командного тайм-менеджмента возможностей Exchange&nbsp;- видеть календари и&nbsp;задачи друг друга&nbsp;- реализована в&nbsp;веб-интерфейсе. Кроме того, встречи календаря в&nbsp;веб-версии Outlook теперь можно раскрашивать цветами с&nbsp;помощью категорий. Все это добавляет удобства в&nbsp;ситуациях, когда вам нужно поработать со своим Outlook из&nbsp;интернет-кафе, вообще с&nbsp;любого компьютера, на&nbsp;котором нет Outlook и&nbsp;не&nbsp;настроена ваша учетная запись, но&nbsp;есть браузер и&nbsp;доступ в&nbsp;интернет.</p> http://www.microsoft.com/rus/business/smb/blog/02/ Microsoft for Business <p>Наглядная и&nbsp;удобная подача информации&nbsp;в отчетности&nbsp;- одна из&nbsp;типовых и&nbsp;постоянно встречающихся проблем в&nbsp;современном бизнесе. По&nbsp;моему опыту тренингов и&nbsp;консультирования, подавляющее большинство руководителей даже сравнительно небольших (и&nbsp;уж&nbsp;тем более крупных!) компаний весьма приблизительно представляют себе реальную текущую ситуацию в&nbsp;своей фирме, слабые и&nbsp;сильные&nbsp;ее места, наиболее важные бизнес-процессы. Обычно, чтобы получить более-менее адекватную картину, руководитель должен перелопатить&nbsp;с десяток отчетов разных подразделений, пытаясь удержать все данные в&nbsp;голове. Плюс помнить кучу не&nbsp;формализуемой четко, но&nbsp;тоже важной информации вроде тенденций рынка и&nbsp;действий конкурентов. А&nbsp;уж&nbsp;отслеживать все это&nbsp;в динамике в&nbsp;течение нескольких месяцев-лет и&nbsp;строить прогнозы способны только единицы.</p> <p>Одним из&nbsp;решений подобной проблемы является переход на&nbsp;действительно наглядные и&nbsp;удобные отчеты с&nbsp;графическим отображением данных по&nbsp;ключевым бизнес-показателям. В&nbsp;последнее время для них даже появился специальный термин&nbsp;- dashboards, что можно перевести на&nbsp;русский язык как панель или пульт управления. Последние версии Microsoft Excel имеют удобные инструменты для построения таких отчетов&nbsp;- давайте&nbsp;их рассмотрим.</p> <h1>Инфокривые Sparklines</h1> <p>Одним из&nbsp;революционных нововведений в&nbsp;крайней версии Microsoft Excel&nbsp;2010 стали инфокривые sparklines&nbsp;- миниграфики, помещающиеся внутри ячеек и&nbsp;наглядно отображающие динамику числовых данных:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_1.gif width=540 height=240 /></p> <p>Идея подобных графиков витала в&nbsp;воздухе&nbsp;уже достаточно давно. Еще для 2003&nbsp;версии Excel существовало несколько надстроек&nbsp;с похожим функционалом. Теперь реализовать подобное (пусть и&nbsp;в&nbsp;достаточно скромном пока варианте) можно и&nbsp;с&nbsp;помощью стандартного набора инструментов Excel&nbsp;2010.</p> <p>Чтобы создать подобные миниграфики, нужно выделить ячейки, куда мы&nbsp;хотим&nbsp;их поместить и воспользоваться кнопками группы <strong>Спарклайны (Sparklines)</strong> с&nbsp;вкладки <strong>Вставка (Insert)</strong>:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_2.gif width=212 height=131 /></p> <p>В&nbsp;открывшемся диалоговом окне нужно задать диапазон исходных данных и&nbsp;диапазон вывода:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_3.gif width=535 height=308 /></p> <p>Созданные миниграфики можно всячески форматировать и&nbsp;настраивать с&nbsp;помощью динамической вкладки <strong>Конструктор (Design)</strong>:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_4.gif width=555 height=77 /></p> <p>В&nbsp;частности, можно легко поменять цвет линий&nbsp;и столбцов спарклайна и&nbsp;выделить особыми цветами минимальные и&nbsp;максимальные значения:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_5.gif width=549 height=318 /></p> <p>Поскольку спарклайн не&nbsp;является отдельным графическим объектом, а&nbsp;выступает, по&nbsp;сути, в&nbsp;роли фона ячейки, то&nbsp;он&nbsp;нисколько не помешает ввести в&nbsp;ячейку текст, числа или другую информацию. Это открывает простор для фантазии&nbsp;- если немного пошаманить с&nbsp;выравниванием введенного текста, шириной и&nbsp;высотой ячейки, то&nbsp;можно достичь интересных результатов:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_sparklines_6.gif width=443 height=148 /></p> <h1>Условное форматирование</h1> <p>Форматирование ячеек в&nbsp;зависимости от&nbsp;их значений&nbsp;- одна из&nbsp;самых приятных и&nbsp;часто используемых функций Excel. До&nbsp;версии 2003&nbsp;включительно возможности условного форматирования ограничивались изменением цвета заливки, шрифта и&nbsp;обрамления ячейки по&nbsp;результатам проверки содержимого ячейки или заданной формулы. Начиная с&nbsp;версии Excel&nbsp;2007 спектр настроек существенно расширился&nbsp;- появилась возможность использования гистограмм, цветовых шкал и&nbsp;значков (вкладка <strong>Главная(Home)</strong>&nbsp;- кнопка <strong>Условное форматирование (Conditional formatting)</strong>):</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_4.gif width=277 height=222 /></p> <p>В&nbsp;Excel&nbsp;2010 этот функционал был еще более усовершенствован, а&nbsp;именно...</p> <h2>Тонкая настройка гистограмм </h2> <p>Теперь пользователь не&nbsp;ограничен шестью стандартными вариантами, как это было в&nbsp;Excel&nbsp;2007, а&nbsp;может произвольно задавать свой цвет заливки и&nbsp;обрамления столбцов гистограммы, причем заливка может быть как сплошным цветом, так и&nbsp;градиентом:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_5.gif width=302 height=191 /></p> <p>Чтобы сделать такую настройку перейдите на&nbsp;вкладку <strong>Главная&nbsp;- Условное форматирование&nbsp;- Управление правилами</strong> <strong>(Home&nbsp;- Conditional formatting&nbsp;- Manage rules)</strong>.</p> <p>Гистограммы теперь строятся и&nbsp;для ячеек с&nbsp;отрицательными значениями, причем с&nbsp;возможностью задания особых цветов для отрицательных столбцов и&nbsp;положения оси в&nbsp;специальном диалоговом окне, которое открывается кнопкой <strong>Отрицательные значения и&nbsp;ось (Negative values and axis)</strong> в&nbsp;окне изменения правила условного форматирования:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_6.gif width=535 height=299 /></p> <p>В&nbsp;сравнении с&nbsp;прошлой 2007&nbsp;версией&nbsp;это выглядит заметно информативней:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_7.gif width=454 height=193 /></p> <h2>Ссылки на&nbsp;другие листы</h2> <p>При создании любых правил условного форматирования теперь (наконец-то!) можно спокойно ссылаться на&nbsp;ячейки других листов:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_8.gif width=563 height=139 /></p> <p>Прошлая версия такого не&nbsp;умела и&nbsp;требовалось либо копировать либо делать ссылки на&nbsp;данные с&nbsp;других листов в&nbsp;текущий лист, чтобы использовать&nbsp;их в&nbsp;критериях.</p> <h2>Обработка ячеек с&nbsp;ошибками</h2> <p>В&nbsp;прошлой 2007-й версии, если вы&nbsp;использовали гистограммы, цветовые шкалы или наборы значков для какого-либо диапазона и&nbsp;в этом диапазоне вдруг оказывалась хотя&nbsp;бы одна ячейка с&nbsp;ошибкой, то&nbsp;условное форматирование переставало работать для всего диапазона (мягко говоря, странно, правда?) Теперь ячейки с&nbsp;ошибками просто игнорируются и&nbsp;правила продолжают работать&nbsp;для остальных корректных ячеек в&nbsp;диапазоне:</p> <p><img src=http://www.microsoft.com/rus/business/smb/imgs/blogs/2010_9.gif width=345 height=201 /></p> <h2>Быстродействие</h2> <p>Большие таблицы, где использовалось условное форматирование заметно подтормаживали в&nbsp;прошлых версиях, т.&nbsp;к. Excel&nbsp;при прокрутке листа и&nbsp;попадании в&nbsp;зону видимости ячеек с&nbsp;условным форматированием автоматически сразу начинал проверять&nbsp;их критерии и&nbsp;каждый&nbsp;раз, фактически, заново считал&nbsp;их форматирование. Теперь форматы ячеек кэшируются в&nbsp;памяти и&nbsp;перерасчитываются только при изменении данных, а&nbsp;не&nbsp;при обычной прокрутке, что приятно отражается на быстродействии.</p> http://www.microsoft.com/rus/business/smb/blog/01/ Microsoft for Business