В этой статье мы рассмотрим, как ассоциировать разные расширения (типы) файлов с программами в Windows 10/11 и Windows Server 2022/2019/2016/2012R2. В качестве примера мы покажем, как в Windows назначать программу по-умолчанию для открытия *.pdf файлов, импортировать эти настройки в xml файл и распространить полученный файл с параметрами сопоставления файлов на другие компьютеры вручную или с помощью групповых политик.
Главное отличие Windows 10 и 11 от предыдущих версий ОС — теперь нельзя назначить файловые ассоциации через реестр или функционал Group Policy Preferences Open With. Зато появилась новая возможность выгрузить текущие настройки файловых ассоциаций (FTA, File Type Assotiations) с “эталонного” компьютера в xml файл и использовать данный файл для изменения настроек сопоставления расширений файлов на других компьютерах. Также вы можете экспортировать файл с настройками ассоциаций файлов в стандартный образ системы, который разворачивается на клиентах в вашей сети (вручную, через WDS или SCCM).
Содержание:
- Задать программу по умолчанию для открытия типа файлов в Windows 10/11
- Изменить ассоциации программ с типами файлами в Windows из командной строки
- Экспорт, импорт и перенос настроек ассоциаций файлов Windows через XML файл
- Настройка ассоциаций файлов в Windows с помощью GPO
- Изменить файловые ассоциации через реестр Windows
- Сброс всех ассоциаций файлов в Windows
Задать программу по умолчанию для открытия типа файлов в Windows 10/11
Предположим, вы хотите использовать Adobe Reader DC для открытия *.pdf файлов на всех компьютерах домена. Т.е. вы хотите создать ассоциацию этого расширения файлов с приложением. Для этого нам понадобится эталонный компьютер с Windows 10 или 11 (в этом примере используется актуальный билд 22H1) и установленным Acrobat Reader DC.
Обратите внимание, что в Windows 10 и 11 теперь по умолчанию установлен браузер Microsoft Edge, который используется как программа по-умолчанию для просмотра PDF файлов.
Чтобы вручную создать сопоставление определенного типа файла с программой, откройте панель Settings -> Default Apps (для быстрого перехода используйте команду быстрого доступа Settings ->
ms-settings:defaultapps
) и нажмите кнопку Choose default apps by file type.
Найдите в списке расширений тип файлов .pdf. Затем щелкните по значку программы, которая ассоциирована с этим расширением и смените программу по-умолчанию для просмотра PDF файлов с Microsoft Edge на Acrobat.
Можно автоматически ассоциировать определенную программу с типами файлов, для которых она зарегистрирована. Для этого в разделе Default Apps выберите Set default by apps, найдите в списке нужную программу и нажмите кнопку Manage.
В открывшемся списке будет присутствовать список поддерживаемых приложением типов файлов. Выберите расширения файлов, которые должны открываться с помощью Acrobat Reader.
Изменить ассоциации программ с типами файлами в Windows из командной строки
В Windows вы можете использовать утилиту командной строки assoc для настройки сопоставления типов файлов с приложениями. Например, чтобы вывести программу, которая назначена для открытия файлов PDF, выполните команду:
assoc .pdf
В данном примере видно, что с этим расширением ассоциирован тип файлов AcroExch.Document.DC:
.pdf=AcroExch.Document.DC
Вывести все сопостаяления расширения с типами файлов:
assoc|more
Чтобы понять с каким исполняемым файлом ассоциирован тип файла AcroExch.Document.DC, выполните:
ftype AcroExch.Document.DC
Вы можете задать тип для определенных файлов с помощью команды:
ASSOC .csv=txtfile
В этом примере мы указали, что все CSV файлы нужно открывать как обычные текстовые файлы (по умолчанию с помощью notepad.exe).
Из командной строки вы можете создать или изменить ассоциацию файл с программой. Например, вы хотите чтобы все файлы с расширением tx1 открывались с помощью notepad++.exe. Сначала нужно создать ассоциацию расширения .tx1 с новым типом файлов tx1file.
assoc .tx1=tx1file
Теперь укажем программу, которая должна использоваться по умолчанию при открытии файлов с расширением tx1.
ftype tx1file="%programfiles(x86)%\"Notepad++\notepad++.exe" "%1"
Также вы можете использовать стороннюю утилиту SetUserFTA чтобы назначить файловые ассоциации в Windows. SetUserFTA эта утилита командой строки для быстрой настройки файловых ассоциаций (часто используется на RDS фермах Windows Server 2019/2022 для настройки сопоставления файлов с приложениями).
Список текущих ассоциаций и заданных для них progid в Windows можно вывести так:
SetUserFTA get
Чтобы задать ассоциацию для определенного типа файлов, используется команда:
SetUserFTA.exe extension progid
Например, назначить Chrome браузером по-умолчанию:
SetUserFTA http ChromeHTML
SetUserFTA https ChromeHTML
SetUserFTA .htm ChromeHTML
SetUserFTA .html ChromeHTML
Если для приложения не создан класс файлов или Progid, можно указать его исполняемый файл. Например:
SetUserFTA .txt applications\notepad++.exe
Это возможно для приложений, зарегистрированных в ветке реестра
\HKEY_CLASSES_ROOT\Applications
.
Экспорт, импорт и перенос настроек ассоциаций файлов Windows через XML файл
Текущие настройки ассоциаций файлов с программами, которые настроены под текущим пользователем, можно экспортировать в файл .XML с помощью DISM:
Dism.exe /online /Export-DefaultAppAssociations:C:\PS\DefaultAssoc.xml
Команда экспортирует в XML файл все настроенные у вас сопоставлений программ. Вы можете открыть файл DefaultAssoc.xml в любом текстовом редакторе, и посмотреть полный список настроек. Если вы хотите использовать только часть ассоциаций из этого списка (чтобы не переопределять имеющиеся настройки для остальных расширений файлов на других компьютерах), можно вручную отредактировать XML файл. Оставьте только строки с нужными вам расширениями файлов. К примеру, оставьте только строки для расширений .pdf и .fdf, остальные строки удалите. Должен получиться примерно такой XML-файл:
<?xml version="1.0" encoding="UTF-8"?> <DefaultAssociations> <Association Identifier=".fdf" ProgId="AcroExch.FDFDoc" ApplicationName="Adobe Acrobat Reader DC" /> <Association Identifier=".pdf" ProgId="AcroExch.Document.DC" ApplicationName="Adobe Acrobat Reader DC" /> </DefaultAssociations>
Полученный XML файл можно импортировать в образ Windows на другом компьютере с помощью DISM в режиме онлайн:
Dism.exe /Online /Import-DefaultAppAssociations:C:\PS\DefaultAssoc.xml
Важно. Данные настройки сопоставления расширений файлов с программами будут применены только к новым пользователям системы во время их первого входа. Если при импорте появится ошибка App default reset notification, проверьте синтаксис XML файла.
Также можно импортировать параметры ассоциаций в офлайн образ Windows в wim файл (который вы используете для раскатки образа на новые компьютеры). Сначала нужно смонтировать образ:
Dism /Mount-Image /ImageFile:C:\mnt\images\install.wim /MountDir:C:\mnt\offline
А затем импортировать xml файл:
Dism.exe /Image:C:\mnt\offline /Import-DefaultAppAssociations:\\Server1\Share\DefaultAssoc.xml
Совет. Текущие настройки ассоциаций файлов в офлайн образе Windows можно получить с помощью такой команды:
Dism.exe /Image:C:\mnt\offline /Get-DefaultAppAssociations
Настройка ассоциаций файлов в Windows с помощью GPO
В современных версиях Windows можно использовать новый параметр групповых политик, позволяющий применить xml файл с настройками ассоциаций файлов ко всем текущим пользователям компьютера.
Например, вы хотите применить групповую политику с настройками ассоциаций файлов ко всем компьютерам в определенном OU (Organizational Unit) Active Directory.
- Откройте консоль управления доменными GPO (
gpmc.msc
); - Найдите OU с компьютерами, для которых вы хотите применить файловые ассоциации и создайте новую GPO;
- Переключитесь в режим редактирования GPO и перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer;
- Найдите параметр Set a default associations configuration file (Задать файл конфигурации сопоставлений по умолчанию);
- Включите политику и укажите UNC путь к вашему xml файлу (убедитесь, что путь не содержит кавычки или пробелы). Его можно разместить на общедоступном файловом сервере, в каталоге SYSVOL на контроллере домена, или предварительно скопировать файл на компьютеры с помощью GPP/ SCCM;
- Перезагрузите компьютер, чтобы применить новые ассоциации файлов.
Новые настройки сопоставлений будут применены ко всем пользователям компьютера после следующего входа.
Путь к XML файлу с новыми настройками ассоциации файлов содержится в параметре реестра DefaultAssociationsConfiguration в разделе Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System.
Т.к. Windows 10 отслеживает настройки файловых ассоциаций, при первой попытке открыть PDF файл может появится окно с подтверждением использования Acrobat Reader как программы по–умолчанию для открытия этого типа файлов (запрос появляется только один раз). Такой запрос будет всегда появляться также после установки нового приложения, которое регистрируется для открытия существующего типа файлов или протоколов. Можно скрыть данные уведомления, включив в этом же разделе GPO политику Do not show the ‘new application installed‘ notification (Не показывать уведомление “установлено новое приложение”).
Отметим, что пользователь в своем сеансе может изменить назначенные ассоциации файлов. Но при следующем обновлении групповой политики во время входа в систему, ассоциаций файлов пользователя будут перезаписаны настройками из xml файла.
Изменить файловые ассоциации через реестр Windows
Как мы уже говорили выше, в Windows 10/11 изменился подход к изменению настроек ассоциации файлов. В предыдущей секции мы показали, как настроить ассоциацию .pdf файла с Acrobat Reader через XML файл и групповую политику. Теперь посмотрим, как это выглядит в реестре.
Запустите редактор regedit.exe и перейдите в ветку
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
.
Обратите внимание, что в данной ветке с настройками ассоциация для расширения html есть два параметра:
- ProgId – идентификатор зарегистрированной программы для открытия этого типа файлов. Если вместо имени приложения указан длинный идентификатора, значит назначена ассоциация файла с современным приложением UWP/Metro. Проверьте, что оно не удалено из вашего образа Windows 10;
- Hash – хеш, который генерируется автоматически для валидации настройки сопоставления типа файлов с программой. Наличие этого хэша, гарантирует, что именно пользователь или администратор (через GPO) настроил данное сопоставление. Этот механизм нужен для защиты пользователей от вредоносных программ, которые могут подменить ассоциации файлов без его ведома.
Если вы попробуете руками изменить значение ProgId и назначить другую программу, значение Hash перестанет быть валидным. В этом случае Windows автоматически сбросит настройки ассоциации файла к значению по-умолчанию и пользователь увидит уведомление:
Стандартное приложение сброшено. Приложение вызвало проблемы с настройкой стандартного приложения для файлов .html, поэтому оно сброшено для Microsoft Edge.
An app default was reset. An app caused a problem with the default app setting for .html files, so it was reset to Microsoft Edge.
Соотвественно, в Windows 10 не сможете настроить сопоставление файлов через реестр, как это работало в Windows 7.
В сети есть неофициальная утилита SetUserFTA.exe, которая позволяет вычислить хэш и назначить сопоставление программе типу файлов напрямую через реестр.
Сброс всех ассоциаций файлов в Windows
С помощью следующей команды можно сбросить импортированные ранее настройки ассоциаций файлов в Windows:
Dism.exe /Online /Remove-DefaultAppAssociations
После выполнения данной команды, все новые пользователи системы будут загружаться со стандартными настройками ассоциаций (на имеющиеся профили пользователей системы такой сброс не действует).
Чтобы сбросить ассоциации файлов, настроенные пользователем вручную, нужно в панели Параметры -> Система -> Приложения по умолчанию (Default Apps) нажать на кнопку Сброс (Reset).
При этом все ассоциации файлов вернутся к состоянию чистой Windows 10.
Все способы:
- Способ 1: Редактор локальных политик
- Способ 2: Консоль MMC
- Способ 3: Утилита PolicyPlus
- Способ 4: Правка ключей реестра
- Вопросы и ответы: 1
Способ 1: Редактор локальных политик
Для получения доступа административным шаблонам Windows 10 традиционно используется штатная оснастка «Редактор локальных групповых политик». Доступно это приложение исключительно в редакциях Windows Pro и выше.
- Откройте «Редактор групповых политик», для чего вызовите нажатием Win + R диалоговое окошко быстрого выполнения команд, введите в него
gpedit.mscи нажмите «OK». - В левой колонке окна редактора имеется два раздела: «Конфигурация компьютера» и «Конфигурация пользователя», и каждый содержит вложенный подраздел «Административные шаблоны», отвечающий за тонкую настройку разных компонентов операционной системы.
Способ 2: Консоль MMC
В Windows 10 Pro и выше открыть административные шаблоны можно через «Консоль управления Windows».
- Откройте консоль командой
mmcв диалоговом окошке «Выполнить», вызвав последнее нажатием клавиш Win + R. - В окне оснастки выберите опцию «Файл» → «Добавить или удалить оснастку…».
- В новом окне добавления оснасток выберите «Редактор объектов групповой политики» и нажмите кнопку «Добавить».
- В следующем окне нажмите «Готово».
- Наконец, сохраните настройки нажатием «OK».
- В результате в окне консоли MMC появится два уже известных вам раздела: «Конфигурация компьютера» и «Конфигурация пользователя». Разверните их, чтобы получить доступ к шаблонам администрирования.
Способ 3: Утилита PolicyPlus
Редактор gpedit имеется и в Windows 10 Домашняя, однако в этой редакции он отключен, поэтому для доступа к шаблонам администрирования придется использовать обходные решения. Например, вы можете поискать в интернете адаптированный установочный файл редактора политик или воспользоваться его альтернативой — бесплатной сторонней утилитой Policy Plus.
Скачать Policy Plus с официального сайта
- Скачайте утилиту с официальной страницы проекта разработчика и запустите исполняемый файл PolicyPlus.exe от имени администратора.
- Если в левой колонке будет пусто, выберите опцию «Acquire ADMX Files» в меню «Help».
- Откроется диалоговое окно загрузки шаблонов с сайта Microsoft, нажмите в нем кнопку «Begin».
- По завершении скачивания файлов вам будет предложено открыть шаблоны. Нажмите «Да» в окошке «ADMX files downloaded successfully. Open them now?».
Список административных шаблонов в виде древовидной структуры появится в левой колонке, в ней же вы сможете переключаться между шаблонами компьютера и пользователя.
Способ 4: Правка ключей реестра
Если вы работаете в Windows 10 Home и при этом не имеете возможности воспользоваться альтернативными или сторонними средствами управления политиками, можете попробовать это обходное решение. Суть его заключается в выявлении сопоставления политик административных шаблонов с ключами реестра.
- Перейдите в браузере на специальный ресурс поиска и описаний групповых политик. В правой колонке вы увидите список подразделов административных шаблонов. Разверните интересующий вас шаблон и выберите политику, которую хотите изменить.
Перейти к онлайн-сервису поиска групповых политик - В следующем окне найдите ключ реестра, отвечающий за изменение этой политики и скопируйте его в буфер обмена. Также запомните соответствующий данной политике параметр и его значение (они должны быть указаны).
- Откройте командой
regeditв окошке «Выполнить» приложение «Редактор реестра». - Вставьте скопированный в буфер ключ в адресную строку «Редактора реестра» и нажмите ввод, чтобы развернуть ключ. Найдите справа соответствующий политике параметр и измените его значение. «1» обычно включает политику, а «0» — отключает.
Мы не рекомендуем использовать этот способ, так как его применение требует определенных знаний и навыков. Если вы все же решите им воспользоваться, обязательно создавайте резервную копию редактируемых ключей реестра на тот случай, если ошибетесь и измените не тот ключ реестра, который нужно.
Наша группа в TelegramПолезные советы и помощь
WebP и JFIF — форматы изображений, которые часто встречаются в интернете. Однако в отличие от привычных JPEG или PNG, работать с ними не так просто. Привычные программы и формы загрузки на сайтах часто их не распознают. Не спешите удалять и искать новую картинку — вот что можно сделать.
Что такое WebP
Формат WebP появился не вчера. Впервые его представила компания Google в 2010 году. По сравнению с JPEG он обеспечивает лучшее качество при меньшем размере. Несмотря на преимущества, этот формат так и не стал стандартом и до сих пор поддерживается недостаточно. Файлы PNG и JPG открываются в любой программе (которая в принципе должна отображать картинки), а с WebP все еще много проблем.
Особенно неприятно, когда найденная в сети картинка сохраняется в формате WebP. Это часто происходит, если искать изображения в Google через поиск по картинкам. Такой файл не распознает операционная система Windows, не видят многие популярные программы и формы загрузки изображений на сайте.
Чем открыть: проще всего — обычным браузером. Можно использовать, например, Google Chrome, Mozilla Firefox или Microsoft Edge. Кликните правой кнопкой мыши на файле и выберите «Открыть с помощью».
С файлами WebP можно работать в Adobe Photoshop. Для версии 23.1 и ниже нужно скачать официальный плагин от компании Google, чтобы добавить поддержку этого формата в программу. В версии 23.2 и выше есть нативная поддержка формата.
Кроме того, WebP воспринимают и программы для просмотра и обработки фотографий вроде XnView.
Что такое JFIF
Кроме WebP, пользователям иногда приходится сталкиваться и с форматом JFIF. Если не вдаваться в технические подробности, то, по сути, это тот же JPEG (даже его полное название звучит как JPEG File Interchange Format), только с другим расширением. Вообще, расширения JPEG не ограничиваются только .jpg, они могут иметь и такой вид: jpe или jpeg.
Чем открыть: работать с таким форматом можно привычными программами. Однако из-за нестандартного расширения все же не каждая программа или форма загрузки на сайте сможет «переварить» или хотя бы увидеть такой файл.
Как конвертировать WebP в JPEG
Самый простой способ, который не требует стороннего софта, — через стандартное приложение Paint. Сначала нужно открыть изображение в браузере, затем кликнуть на нем правой кнопкой мыши и выбрать «Копировать». После чего нужно вставить изображение в Paint (Ctrl + V) и затем сохранить в любом удобном формате.
Также можно использовать онлайн-конвертер вроде cloudconvert. Процесс предельно простой: загружаете файл через форму и нажимаете кнопку Convert. Далее откроется окно с инвертированным файлом, где нужно нажать Download, чтобы скачать его.
Еще один способ — воспользоваться программой-конвертером. Например, можно использовать XnConvert. У нее есть также полезная функция пакетной обработки изображений для конвертирования сразу большого объема изображений. Также конвертировать файл можно и уже упомянутым Adobe Photoshop.
Как конвертировать JFIF в JPEG
С форматом JFIF все проще. Так как в целом это стандартный JPEG, то можно просто изменить расширение вручную. Если в «Проводнике» не отображаются расширения файлов, то нужно сделать следующее. Наберите в поиске «Параметры проводника», затем перейдите на вкладку «Вид» и снимите галочку с пункта «Скрывать расширения для зарегистрированных типов файлов». Сохраните изменения. Теперь расширения должны быть видны.
Если все равно остаются проблемы с чтением файла, то лучше его переконвертировать в JPEG при помощи все той же программы XnConvert.
В Windows 10 и 11 можно отредактировать реестр, чтобы файлы из интернета сохранялись сразу с нужным расширением. Для этого:
- нажмите сочетание Win + R и выполните команду regedit;
- откроется редактор реестра;
- перейдите к разделу HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/jpeg;
- кликните на папке левой кнопкой мыши, чтобы в правой части окна появились параметры и их значения;
- если у параметра Extension значение .jfif, то кликните на параметре два раза и замените значение на .jpg;
- сохраните настройки;
- то же самое проделайте с image/pjpeg.
Время на прочтение7 мин
Количество просмотров171K
Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.
Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.
Часть первая. «Запрещательная»
Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.
Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.
Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.
Расположение групповой политики:
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer
И измените значение следующих опций:
• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.
Что еще можно спрятать от пользователя, используя эту групповую политику:
• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer’s default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)
После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.
И так поехали:
Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.
Меняем значение на enabled.
Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.
Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.
Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)
Расположение групповой политики:
User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands
При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.
Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:
Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon
Меняем значение на enabled.
Запрещаем запуск PowerShell
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications
Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe
Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.
Прячем элементы панели управления
Расположение групповой политики:
User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.
При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.
Запрещаем запуск редактора реестра
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools
Меняем значение на enabled.
Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.
Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:
Расположение групповой политики:
User Configuration\Preferences\ Windows Settings\Registry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item
Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Теперь пользователю запрещено запускать любые приложения кроме системных.
Как запретить ему пользоваться CMD и Power Shell описано выше.
Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.
Пример:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»
При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.
На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.
Часть вторая. «Время и прочая романтика»
Установка временных лимитов для удаленных сессий
Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.
Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.
Какие бывают статусы терминальных сессий:
Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.
Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.
Добиться этого мы можем опять-таки, используя групповые политики.
Расположение групповой политики:
User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits
В этой ветке есть несколько опций. Давайте разберем их все:
Set time limit for active but idle Remote Desktop Services sessions
Максимальное время работы для Active сессий.
Set time limit for active Remote Desktop Services sessions
Максимальное время работы для IDLE сессий.
Set time limit for disconnected sessions
Максимальное время работы для disconnected сессий.
End session when time limits are reached
Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.
Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.
Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.
Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.
Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.
Итог этого раздела:
1. Вы великолепны
2. Жизни пользователей спасены от переработки
Часть третья. «Интерактивная»
Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.
Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:
На компьютере пользователя измените следующую групповую политику:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled
Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.
Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.
На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.
На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.
З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.
На терминальных серверах под управлением Windows Server 2008 R2 по умолчанию отсутствует программа для просмотра графических файлов (именно для просмотра а не редактирования, типа Paint). Если используется Office 2010, то можно в качестве просмотрщика основных типов графических файлов использовать входящую в его состав программу “Диспетчер рисунков Microsoft Office”.
Вот пример простого но действенного reg файла который можно использовать в логон-скриптах:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpeg\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpe\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tif\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bmp\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\UserChoice]
"Progid"="Applications\\OIS.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice]
"Progid"="Applications\\OIS.EXE"
Применение таких настроек не затронет основных системных ассоциаций а лишь переопределит для текущего пользователя приложение с помощью которого будут открываться определённые типы графических файлов.
Ещё более предпочтительным вариантом в данной ситуации будет применение не логон-скриптов, а использование Пользовательского раздела параметров GPP (Group Policy Preferences) групповых политик применяемых на терминальных серверах (User Configuration > Preferences > Windows Settings > Registry).
Применение механизма нацеливания GPP позволит при необходимости настраивать разные ассоциации для одних и тех же типов файлов в зависимости от разных условий, исходя из задачи которая перед нами ставится.
Метки :
GPP , Group Policy , Office , Office 2010 , OIS , RDS , RDSH , Remote Desktop , Terminal Services , Windows Server , Windows Server 2008 R2