В Windows 10 RTM и Windows 8.1 были доступны всего два режима настройки параметров меню Пуск и начального экрана (Start Layout) на компьютерах пользователей домена: можно было либо полностью заблокировать пользователю возможность изменения любых элементов стартового экрана, либо пользователь мог менять любые параметры макета (описано здесь). В Windows 10 версии 1511 появилась возможность частичной блокировки элементов макета стартового экрана, позволяющая администратору выбрать какие группы пользователь не может изменить. Таким образом, пользователи теперь могут изменить любые элементы макета стартового экрана кроме группы корпоративных приложений и ярлыков. Рассмотрим особенности управления стартовым экраном, меню Пуск и значками таскбара в Windows 10 с помощью GPO.
Экспорт / импорт макета стартового экрана с помощью PowerShell
Самый простой способ получить шаблон макета стартового экрана – вручную настроить внешний вид и элементы рабочего стола на неком эталонном ПК с Windows 10 (закрепить значки приложений, сгруппировать их и т.д.) и экспортировать получившиеся настройки в xml файл.
Экспортировать текущие настройки можно с помощью PowerShell командлета Export-StartLayout:
Export-StartLayout –path c:\ps\StartLayoutW10.xml
В дальнейшем данный макет можно вручную импортировать на другой системе таким образом:
Import-StartLayout –LayoutPath c:\ps\StartLayoutW10.xml –MountPath c:\
Примечание. Параметр MountPath указывает на путь, куда смонтирован .wim файл образа системы.
После выполнения команды в каталоге C:\Users\Default\AppData\Local\Microsoft\Windows\Shell\ появится файл Layoutmodification.xml, который будет содержать настройки макета рабочего стола системе. Данные настройки не применяются для текущих пользователей, шаблон с этими настройками будет применен к профилю любого нового пользователя при первом входе в систему.
Распространение макета стартового экрана на ПК пользователей с помощью GPO
Чтобы распространить файл с макетом стартового экрана на компьютеры домена с помощью групповых политик (GPO), нужно скопировать полученный файл в некий общедоступный сетевой каталог (у пользователя должны быть права на чтение). Затем откройте консоль управления доменными групповыми политиками Group Policy Management Console (GPMC.msc) и создайте новую или отредактируйте существующую политику и назначьте ее на OU с пользователями.
В редакторе GPO найдите политику с именем Start Screen Layout (политику можно задать как в пользовательском разделе User Configuration так и параметрах компьютера Computer Configuration ) -> Policies -> Administrative Templates ->Start Menu and Taskbar.
Примечание. Эту политику можно настроить с любого компьютера при наличие следующих файлов административных шаблонов: StartMenu.admx и StartMenu.adml (в Windows 10 / Server 2016 они уже имеются).
Откройте политику, включите ее (Enabled) и в поле Start layout file укажите UNC путь к xml файлу, содержащему макет стартового экрана Windows 10 (например, \\srv1\share\StartLayoutW10.xml).
Важно. По умолчанию при задании параметром стартового экрана пользователей с помощью GPO, пользователи не могу изменять его элементы. Чтобы разрешить пользователю менять элементы, нужно воспользоваться возможность частичной блокировки макета начального экрана (Partial Lockdown), описанной в секции ниже.
Partial Lockdown – частичная блокировка макета начального экрана
Режим Partial Lockdown, появившийся в Windows 10 версии 1511 позволяет указать группы плиток начального экрана, которые будут заблокированы для пользователя Все остальные части макета начального экрана пользователь может настраивать по своему желанию.
Чтобы указать заблокированные группы начального экрана, нужно отредактировать XML файл с макетом с помощью любого текстового редактора.
Откроем наш файл StartLayoutW10.xml и найдем в нем секцию <DefaultLayoutOverride>. Нужно атрибуты данной секции изменить на <DefaultLayoutOverride LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”>
Сохраните изменения в xml файле и распространите его на клиентские ПК. Таким образом, будут заблокированы только группы, указанные в XML файле. Все другие группы, их состав и параметры элементов могут меняться пользователями.
НО! Работает эта фича только в Windows 10 Enterprise и Education.
Управление набором приложений в таскбаре с помощью GPO
Еще одним из популярных требований корпоративного сектора является необходимость управления набором закрепленных иконок приложений в таскбаре с помощью групповой политики. Список закрепленных в таскбаре иконок хранится в системе в каталоге %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
А параметры закрепленных приложений хранятся в закодированном виде в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
Для распространения данных настроек таскбара на компьютеры компании, нужно экспортировать содержимое данной ветки в reg файл:
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband c:\ps\PinnedItem.reg
Данный reg файл и каталог с ярлыками (%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar) нужно скопировать в общедоступную сетевую папку. И в редакторе доменной групповой политики (User Configuration- > Policies -> Windows Settings -> Scripts (Logon/Logoff) -> Logon) добавить логон скрипт с кодом:
@echo off
set Logfile=%AppData%\pinned.log
if not exist "%Logfile% (
IF EXIST "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" GOTO NOTASKDIR
del "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\*" /S /Q
:NOTASKDIR
xcopy /E /Y "\\srv1\share \PinnedItem " "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned"
regedit.exe /s "\\srv1\share\PinnedItem.reg "
echo PinnedItemImported on %date% at %time% >> %LogFile%
taskkill /IM explorer.exe /f
start explorer.exe
}
Таким образом, при входе пользователя в систему ему будет применен «корпоративный» набор закрепленных иконок приложений в таскбаре.
Примечание. В скрипт добавлена проверка наличия файла %AppData%\pinned.log. Если файл имеется, значит данный скрипт уже отработал в системе и более применять его не нужно, чтобы пользователь в дальнейшем мог удалить или добавить собственные ярлыки в таскбаре.
