Управление стартовым экраном и элементами таскбара в Windows 10 через GPO | Windows для системных администраторов

Управление стартовым экраном и элементами таскбара в Windows 10 через GPO

В Windows 10 RTM и  Windows 8.1 были доступны всего два режима настройки параметров  меню Пуск и начального экрана (Start Layout) на компьютерах пользователей домена: можно было либо полностью заблокировать пользователю возможность изменения любых элементов стартового экрана, либо  пользователь мог менять любые параметры макета (описано здесь). В Windows 10 версии 1511 появилась возможность частичной блокировки элементов макета стартового экрана, позволяющая администратору выбрать какие группы пользователь не может изменить. Таким образом, пользователи теперь могут изменить любые элементы макета стартового экрана кроме группы корпоративных приложений и ярлыков. Рассмотрим особенности управления стартовым экраном, меню Пуск и значками таскбара в Windows 10 с помощью GPO.

Экспорт / импорт макета стартового экрана с помощью PowerShell


Самый простой способ получить шаблон макета стартового экрана – вручную настроить  внешний вид и элементы рабочего стола на неком эталонном ПК с Windows 10 (закрепить значки приложений, сгруппировать их и т.д.) и экспортировать получившиеся настройки в xml файл.

Шаблон начального экрана Windows 10

Экспортировать текущие настройки можно с помощью PowerShell командлета Export-StartLayout:

Export-StartLayout –path c:\ps\StartLayoutW10.xml
Export-StartLayout PowerShell

В дальнейшем данный макет можно вручную импортировать на другой системе таким образом:

Import-StartLayout –LayoutPath c:\ps\StartLayoutW10.xml  –MountPath с:\

Примечание. Параметр MountPath указывает на путь, куда смонтирован .wim файл образа системы.

После выполнения команды в каталоге C:\Users\Default\AppData\Local\Microsoft\Windows\Shell\ появится файл Layoutmodification.xml, который будет содержать настройки макета рабочего стола системе. Данные настройки не применяются для текущих пользователей, шаблон с этими настройками будет применен к профилю любого нового пользователя при первом входе в систему.

Распространение макета стартового экрана на ПК пользователей с помощью GPO


Чтобы распространить файл с макетом стартового экрана на компьютеры домена с помощью групповых политик (GPO), нужно скопировать полученный файл в некий общедоступный сетевой каталог  (у пользователя должны быть права на чтение). Затем откройте консоль управления доменными групповыми политиками Group Policy Management Console (GPMC.msc) и создайте новую или отредактируйте существующую политику и назначьте ее на OU  с пользователями.

В редакторе GPO найдите политику с именем Start Screen Layout  (политику можно задать как в пользовательском разделе User Configuration так и параметрах компьютера Computer Configuration ) -> Policies -> Administrative Templates ->Start Menu and Taskbar.

Policies -> Administrative Templates ->Start Menu and Taskbar

Примечание. Эту политику можно настроить с любого компьютера при наличие следующих файлов административных шаблонов:  StartMenu.admx и  StartMenu.adml (в Windows 10 / Server 2016 они уже имеются).

Откройте политику, включите ее (Enabled) и в поле Start layout file укажите UNC путь к xml файлу, содержащему макет стартового экрана Windows 10 (например, \\srv1\share\StartLayoutW10.xml). Политика управления макетом начального экрана Start Screen Layout

Важно. По умолчанию при задании параметром стартового экрана пользователей с помощью GPO, пользователи не могу изменять его элементы. Чтобы разрешить пользователю менять элементы, нужно воспользоваться возможность частичной блокировки макета начального экрана (Partial Lockdown), описанной в секции ниже.

Partial Lockdown – частичная блокировка макета начального экрана

Режим Partial Lockdown, появившийся в Windows 10 версии 1511 позволяет указать группы плиток начального экрана, которые будут заблокированы для пользователя Все остальные части макета начального экрана пользователь может настраивать по своему желанию.

Чтобы указать заблокированные группы  начального экрана, нужно отредактировать XML файл с макетом с помощью любого текстового редактора.

Откроем наш файл StartLayoutW10.xml   и найдем в нем секцию <DefaultLayoutOverride>. Нужно атрибуты данной секции изменить на <DefaultLayoutOverride LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”>

DefaultLayoutOverride LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”>

Сохраните изменения в xml файле и распространите его на клиентские ПК. Таким образом, будут заблокированы только группы, указанные в XML файле. Все другие группы, их состав и параметры элементов могут меняться пользователями.

НО! Работает эта фича только в Windows 10 Enterprise и Education.

Управление набором приложений в таскбаре с помощью GPO

Еще одним из популярных требований корпоративного сектора  является необходимость управления набором закрепленных иконок приложений в таскбаре с помощью групповой политики. Список закрепленных в таскбаре иконок хранится в системе в каталоге %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

Управление закрепленными значками в таскбаре А параметры закрепленных приложений хранятся в закодированном виде в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband

Для распространения данных настроек таскбара на компьютеры компании, нужно экспортировать содержимое данной ветки в reg файл:

reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband c:\ps\PinnedItem.reg

Данный reg файл  и каталог с ярлыками (%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar) нужно скопировать в общедоступную сетевую папку.  И в редакторе доменной групповой политики (User Configuration- > Policies -> Windows Settings -> Scripts (Logon/Logoff) -> Logon) добавить логон скрипт с кодом:

@echo off
set Logfile=%AppData%\pinned.log
if not exist "%Logfile% (
IF EXIST "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" GOTO NOTASKDIR
del "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\*" /S /Q
:NOTASKDIR
xcopy /E /Y "\\srv1\share \PinnedItem " "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned"
regedit.exe /s "\\srv1\share\PinnedItem.reg "

echo PinnedItemImported on %date% at %time% >> %LogFile%
taskkill /IM explorer.exe /f
start explorer.exe
}

Логон сриптТаким образом, при входе пользователя в систему ему будет применен «корпоративный» набор закрепленных иконок приложений в таскбаре.

Примечание. В скрипт добавлена проверка наличия файла %AppData%\pinned.log. Если файл имеется, значит данный скрипт уже отработал в системе и более применять его не нужно, чтобы пользователь в дальнейшем мог удалить или добавить собственные ярлыки в таскбаре.
Еще записи по теме: Group Policy, Windows 10, Windows Server 2016
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 5

Оставить комментарий
  1. Михаил | 09.12.2016

    Все ли правильно в коде скрипта? Кажется пропущен второй оператор ‘del’ после удаления всех ярлыков в папке TaskBar

    Ответить
    • itpro | 13.12.2016

      Да была ошибочка, поправил. Спасибо!

      Ответить
  2. Владимир | 12.12.2016

    К сожалению, Start Screen Layout действует только для Windows 10 Enterprise

    Странно как то, неужели 10 Pro в компаниях не используются? бесят такие изменения. Было 7 Pro, никаких ограничений, перешли на 10 Pro, оказывается теперь нельзя использовать полноценно все политики. Бред

    Ответить
    • itpro | 13.12.2016

      Согласен, этот момент у MS удручает

      Ответить
  3. Sasha Odarchuk | 14.12.2016

    У меня RDS-ферма на Windows 2016 Std. Там стартовый экран работает ок. а вот с таскбаром даже желания нет извращаться :(

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00108 sec