Групповые политики/Управление ярлыками
Назначение
Эта групповая политика позволяет централизованно для компьютеров или пользователей:
- создавать ярлыки;
- удалять ярлыки;
- изменять свойства ярлыков.
Настройка политики
На машине ALT
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Значки». В контекстном меню свободной области выбрать пункт «Новый» -> «Значок»:
Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:
Доступные опции на вкладке «Основные настройки» («General»):
- «Действие» — действие, которое будет выполняться для ярлыка:
- «Создать» — создание нового ярлыка;
- «Удалить» — удаление ярлыка;
- «Заменить» — удаление и повторное создание ярлыка. Если ярлык не существует, то это действие создает новый ярлык;
- «Обновить» — изменение параметров существующего ярлыка. Если ярлык не существует, то это действие создает ярлык. Это действие отличается от «Заменить» тем, что не удаляет ярлык, а только обновляет параметры ярлыка, определенные в элементе настройки.
- «Название» — отображаемое имя для ярлыка. При изменении или удалении ярлыка имя должно совпадать с именем существующего ярлыка.
- «Тип цели» — тип конечного объекта, на который указывает ярлык (при изменении или удалении ярлыка выбранный тип объекта должен соответствовать существующему ярлыку):
- «FILESYSTEM» — путь в ФС, например, файл, папка, диск, общий ресурс или компьютер;
- «URL» — URL-адрес, например, веб-сайт;
- «SHELL» — объект, например, принтер, элемент рабочего стола или панели управления, файл, папка, общий ресурс, компьютер или сетевой ресурс.
- «Место нахождения» — место, где ярлык должен отображаться на компьютерах, для которых применяется политика. Размещения, отличные от «Общее…», относятся к текущему пользователю. При изменении существующего ярлыка выбранное размещение должно совпадать с размещением существующего ярлыка. Если выбран пункт «Укажите полный путь» («Specify full path»), то место задается полным путем в поле «Название» (при этом можно использовать переменные, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в Program Files, необходимо ввести %ProgramFilesDir%\Ярлыки\Почта). Чтобы разместить ярлык в подпапке для выбранного размещения из списка, следует указать <название подпапки>\<имя ярлыка> в поле «Название», например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в размещении «Рабочий стол», необходимо ввести Ярлыки/Почта в поле «Название» и выбрать «Рабочий стол» в поле «Место нахождения»:
- «Целевой путь» — локальный путь (с точки зрения клиента) для типа «FILESYSTEM», URL для типа «URL» или объект для типа «SHELL». Если выбран тип цели «FILESYSTEM» или «URL», то это поле может принимать переменные. Это поле недоступно, если выбрано действие «Удалить».
- «Аргументы» — аргументы, которые будут использоваться при открытии целевого файла или папки. Это поле доступно только в том случае, если выбран тип цели «FILESYSTEM», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Путь к файлу значка» и «Индекс значка» — значок для ярлыка. Для указания значка, отличного от значка по умолчанию необходимо выбрать значок или ввести полный путь к значку (с точки зрения клиента) и указать индекс значка. Поле «Путь к файлу значка» принимает переменные. Эти поля недоступны, если выбрано действие «Удалить».
- «Начинать» — рабочий каталог, содержащий файлы, необходимые для конечного объекта. Это поле принимает переменные. Поле доступно только в том случае, если выбран тип цели «FILESYSTEM», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Быстрая клавиша» — сочетание клавиш для запуска ярлыка. Чтобы назначить сочетание клавиш следует установить курсор в поле «Быстрая клавиша» и нажать комбинацию клавиш. Это поле недоступно, если выбрано действие «Удалить».
- «Запуск» — размер окна, в котором нужно открыть цель ярлыка. Поле доступно только в том случае, если выбран тип объекта «FILESYSTEM», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Комментарий» — всплывающая подсказка, когда указатель мыши приостановлен на ярлыке. Поле принимает переменные. Поле доступно только в том случае, если выбран тип объекта «FILESYSTEM», и выбрано действие «Создать», «Заменить» или «Обновить».
Доступные опции на вкладке «Общие» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
- «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
- «Удалить элемент если больше не применим»;
- «Описание».
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей, для которых создаются ярлыки.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Ярлыки». В контекстном меню свободной области (или в контекстном меню пункта «Ярлыки») выбрать пункт «Создать» -> «Ярлык»:
Шаг 5. В диалоговом окне «Новые свойства ярлыка» задать настройки политики:
Доступные опции на вкладке «Общие» («General»):
- «Действие» — действие, которое будет выполняться для ярлыка:
- «Создать» — создание нового ярлыка;
- «Удалить» — удаление ярлыка;
- «Заменить» — удаление и повторное создание ярлыка. Если ярлык не существует, то это действие создает новый ярлык;
- «Обновить» — изменение параметров существующего ярлыка. Если ярлык не существует, то это действие создает ярлык. Это действие отличается от «Заменить» тем, что не удаляет ярлык, а только обновляет параметры ярлыка, определенные в элементе настройки.
- «Имя» — отображаемое имя для ярлыка. При изменении или удалении ярлыка имя должно совпадать с именем существующего ярлыка.
- «Тип объекта» — тип объекта, на который указывает ярлык. При изменении или удалении ярлыка выбранный тип объекта должен соответствовать существующему ярлыку. Варианты типа объекта:
- «Объект файловой системы» — путь Windows, например, файл, папка, диск, общий ресурс или компьютер;
- «URL-адрес» — URL-адрес, например, веб-страница, веб-сайт или FTP-сайт;
- «Объект оболочки» — объект в оболочке Windows, например, принтер, элемент рабочего стола или панели управления, файл, папка, общий ресурс, компьютер или сетевой ресурс.
- «Размещение» — место, где ярлык должен отображаться на компьютерах, для которых применяется политика. Размещения, отличные от «All Users», относятся к текущему пользователю. При изменении существующего ярлыка выбранное размещение должно совпадать с размещением существующего ярлыка. Если в поле «Размещение» выбран пункт «Укажите полный путь», то место задается полным путем в поле «Имя», при этом можно использовать переменные, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в Program Files, необходимо ввести %ProgramFilesDir%\Ярлыки\Почта. Чтобы разместить ярлык в подпапке для выбранного размещения из списка, следует указать <название подпапки>\<имя ярлыка> в поле «Имя», например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в размещении «Главное меню», необходимо ввести Ярлыки\Почта в поле «Имя» и выбрать «Главное меню» в поле «Размещение»:
- «Конечный путь»/«Целевой URL»/«Целевой объект» — локальный путь для типа «Объект файловой системы», URL для типа «URL-адрес» или выбрать объект в оболочке Windows для типа «Объект оболочки». Если выбран тип объекта «Объект файловой системы» или «URL-адрес», то это поле может принимать переменные (отобразить список доступных переменных можно, нажав F3). Поле недоступно, если выбрано действие «Удалить».
- «Аргументы» — аргументы, которые будут использоваться при открытии целевого файла или папки. Это поле доступно только в том случае, если выбран тип объекта «Объект файловой системы», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Рабочая папка» — рабочий каталог, содержащий файлы, необходимые для целевого файла. Это поле принимает переменные (отобразить список доступных переменных можно, нажав F3). Поле доступно только в том случае, если выбран тип объекта «Объект файловой системы», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Быстрый вызов» — сочетание клавиш для запуска ярлыка. Чтобы назначить сочетание клавиш следует установить курсор в поле «Быстрый вызов» и нажать комбинацию клавиш. Чтобы удалить сочетание клавиш, можно нажать клавишу DELETE или BACKSPACE. Поле недоступно, если выбрано действие «Удалить».
- «Выполнение» — размер окна, в котором нужно открыть цель ярлыка. Поле доступно только в том случае, если выбран тип объекта «Объект файловой системы», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Комментарий» — всплывающая подсказка, когда указатель мыши приостановлен на ярлыке. Это поле принимает переменные (отобразить список доступных переменных можно, нажав F3). Поле доступно только в том случае, если выбран тип объекта «FILESYSTEM», и выбрано действие «Создать», «Заменить» или «Обновить».
- «Путь к файлу значка» и «Индекс значка» — значок для ярлыка. Для указания значка, отличного от значка по умолчанию необходимо выбрать значок или ввести полный путь к значку (с точки зрения клиента) и указать индекс значка. Поле «Путь к файлу значка» принимает переменные (отобразить список доступных переменных, можно нажав F3). Эти поля недоступны, если выбрано действие «Удалить».
Доступные опции на вкладке «Общие параметры» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки»;
- «Выполнять в контексте безопасности вошедшего пользователя»;
- «Удалить этот элемент, когда он более не применяется»;
- «Применить один раз и не применять повторно»;
- «Нацеливание на уровень элемента».
Файл настроек политики
Все настройки политики для ярлыков хранятся в:
- {GUID GPT}/Machine/Preferences/Shortcuts/Shortcuts.xml
- {GUID GPT}/User/Preferences/Shortcuts/Shortcuts.xml
Пример Shortcuts.xml:
<?xml version="1.0" encoding="utf-8"?>
<Shortcuts clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}">
<Shortcut bypassErrors="0"
changed="2022-11-17 11:07:40"
clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}"
desc=""
image="0"
name="Почта"
removePolicy="0"
status=""
uid="{dfd45a36-4634-47d9-8a22-5f702fba21bc}"
userContext="0">
<Properties
action="U"
arguments=""
comment=""
iconPath="/usr/lib64/thunderbird/chrome/icons/default/default32.png"
pidl=""
shortcutPath="%DesktopDir%\Почта"
startIn=""
targetPath="/usr/bin/thunderbird"
targetType="FILESYSTEM"
window=""/>
</Shortcut>
</Shortcuts>
Спецификация Shortcuts.xml https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/51d5a9e5-1ea9-44c0-9ede-e686d9012980
Некоторые детали
- Поскольку сетевые диски существуют только для пользователей, если какой-либо путь в конфигурации для ярлыка включает сетевой диск, групповая политика настройки ярлыка должна находиться в разделе «Конфигурация пользователя», буква диска должна существовать до обработки групповой политики настройки ярлыка, и опция «Выполнять в контексте безопасности вошедшего пользователя» должна быть выбрана на вкладке «Общие параметры» («Common»).
- По умолчанию переменные в целевом пути разрешаются групповой политикой до создания или изменения ярлыка. Чтобы включить переменную, а не ее разрешенное значение (чтобы переменная разрешалась в среде на компьютерах, к которым применяется эта групповая политика), следует использовать неразрешимый синтаксис переменной, например %<ProgramFiles>% вместо %ProgramFiles%. Поскольку синтаксис неразрешимых переменных разрешается в среде компьютеров, к которым применяется групповая политика, следует использовать только переменные среды.
- Определенные пользователем пути разрешаются к .default при применении групповой политики настройки ярлыка к компьютеру.
- Можно использовать таргетинг на уровне элементов.
Ссылки
- Подробная документация по настройке политики
- Описание атрибутов XML-файлов из GPT и XML Schema