Централизованное изменение часового пояса в Windows XP ­ Дневник ­ Максим Боголепов

Централизованное изменение часового пояса в Windows XP

Несмотря на то, что официальная поддержка Microsoft Windows XP SP3 завершилась 8 апреля 2014 года, во вверенной мне сети существует еще достаточно большой парк компьютеров под управлением этой операционной системы. Из-за отсутствия пакетов обновлений от Microsoft даже такая тривиальная операция, как смена часового пояса, теперь может вызвать головную боль у администраторов. Недавно мною было найдено решение, как на всех подобных компьютерах посредством доменной политики сменить часовой пояс на “правильный”. Теперь делюсь этим методом с заинтересованными.

Для того, чтобы временная зона стала «правильной», к примеру – для Московского часового пояса +3 от Гринвичского, необходимо на компьютере под управлением Windows XP изменить настройки и установку данного часового пояса в реестре. Для этой цели мной был произведен экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones , где хранятся данные о часовых поясах, с одного из компьютеров с Windows XP (на котором установлены все существующие на данный момент обновления от Microsoft) и небольшая модификация данной выгрузки реестра, с помощью аналогичного фрагмента реестра, полученного с компьютера под управлением Windows 7 (со всеми установленными последними обновлениями от Microsoft). Т.е. фрагмент реестра с описанием Russian Standard Time с Windows XP был заменен на модифицированный фрагмент реестра с Windows 7:

— фрагмент реестра с описанием временной зоны с компьютера под управлением Windows XP (все кавычки – прямые » ):

— фрагмент реестра с описанием временной зоны с компьютера под управлением Windows 7 (все кавычки – прямые » ):

Результирующий фрагмент реестра для Windows XP (все кавычки – прямые » ):

Повторюсь, это всего лишь фрагменты реестра с описанием Московского часового пояса (Russian Standard Time). Но, на основе этого будет несложно догадаться, как сделать подобный кусок реестра для вашей временной зоны, отличной от MSK .

Этот изменённый (результирующий) фрагмент реестра был вставлен в файл, куда ранее была экспортирована ветка реестра из Windows XP HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones взамен существующего. Был получен вот такой файл реестра: TimeZones-XP.reg (размер – 196 КБ; формат – REG ).

Теперь осталось посредством групповых политик внести требуемые изменения на компьютеры домена под управлением Windows XP. Для этого:

1. Создаём новую политику в домене, например xp-gpo, чтобы она покрывала все необходимые нам компьютеры и открываем её на изменение.

2. Идём в Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя и делегируем пользователям домена право изменения системного времени и изменение часового пояса, определив соответствующие значения политик:

3. Теперь идем в Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Реестр и добавляем две ветви реестра, которые мы разрешим доменным пользователям изменить на своих компьютерах:

— MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones – которая, как мы отметили ранее, отвечает за настройки существующих временных зон;
— MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation – которая хранит значение установленной в текущий момент временной зоны.

Не забудьте в момент добавления данных веток выставить к ним права пользователям домена на полный доступ:

4. Теперь мы напишем небольшой сценарий, который будет исполняться на компьютерах Windows XP при их загрузке, до момента локального входа пользователя. Сценарий (назовём его TimeZones-XP.cmd) будет иметь вид:

Сам сценарий и файл реестра под именем TimeZones-XP.reg с изменённым описанием временных зон выложены на DFS ресурс домена, чтобы при смене файлового сервера не пришлось менять групповую политику. У меня это путь \\domain.ru\share\TimeZones-XP . Вы можете положить их на любой доступный всем пользователям сетевой ресурс.

Данным сценарием выполняется следующее:

— осуществляется тихий импорт файла реестра, расположенного по пути \\domain.ru\share\TimeZones-XP\TimeZones-XP.reg;
— вызывается панель управления датой и временем, где устанавливается изменённый нами часовой пояс Russian Standard Time;
— останавливается служба времени;
— устанавливается заданный вручную список ntp-серверов (серверов точного времени), это могут быть как внутренние, так и внешние ip, либо hostname;
— запускается служба времени;
— уведомим службу времени, что конфигурация изменилась и чтобы внесённые нами изменения вступили в силу;
— даём команду немедленно выполнить синхронизацию внутренних часов компьютера с удалением всей накопившейся статистики ошибок.

5. Теперь необходимо поместить наш сценарий в автозагрузку компьютеров. Для этого в нашей групповой политике, предназначенной для изменения часового пояса на компьютерах под управлением Windows XP, идем по пути: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Сценарии (запуск/завершение) -> Автозагрузка :

И добавляем наш сценарий TimeZones-XP.cmd:

6. Все изменённые параметры нашей групповой политики выглядят следующим образом:

7. Осталось выполнить последний, но очень важный шаг. Создадим фильтр WMI , с помощью которого данную политику мы будем применять исключительно к доменным компьютерам под управлением Windows XP. В оснастке «Управление групповой политикой» раскройте ветку лес, домены, выберите ваш домен и к нему «Фильтры WMI ». В этой ветке создайте новый фильтр WMI . Присвойте ему имя, например – windows-xp и добавьте описание, например – Применить к компьютерам с Windows XP:

Нажмите на кнопку «Добавить», для ввода запроса wmi, который позволит нам выбрать доменные компьютеры с операционной системой Windows XP. Проследите, чтобы поле «Пространство имен» выглядело как root\CIMV2, в поле «Запрос» введите:

Нажмите «ОК» и сохраните полученный фильтр.

8. Теперь необходимо связать нашу групповую политику с данным фильтром WMI . Для этого разверните ветку «Объекты групповой политики» и выберите необходимую. В правом окне, внизу в поле «Фильтры WMI » в выпадающем списке выберите наш фильтр wmi и подтвердите свой выбор:

Вот теперь, на испытуемом доменном компьютере под управлением Windows XP обновите групповую политику командой gpupdate /force , перезагрузите его и посмотрите результат. У вас должно получится следующее:

Вот таким образом мы изменили на всех компьютерах домена под управлением Windows XP часовой пояс на необходимый нам. Надеюсь, наше правительство наконец-то закончит пляски с часовыми поясами… 🙁

Rating: 4.3/5(3 votes cast)

Изменение часового пояса — параметр политики безопасности Change the time zone — security policy setting

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности, которые следует учитывать при изменении параметра политики безопасности часового пояса. Describes the best practices, location, values, policy management, and security considerations for the Change the time zone security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут настраивать часовой пояс, используемый устройством для отображения местного времени, включая системное время устройства и смещение часового пояса. This policy setting determines which users can adjust the time zone that is used by the device for displaying the local time, which includes the device’s system time plus the time zone offset.

Константа: SeTimeZonePrivilege Constant: SeTimeZonePrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not Defined

Рекомендации Best practices

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not Defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators Пользователи Users
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators Пользователи Users
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators Пользователи Users
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators Пользователи Users
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators Пользователи Users

Управление политикой Policy management

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Любое изменение учетной записи для этого назначения прав пользователя вступит в силу при следующем входе учетной записи. Any change to the account for this user right assignment becomes effective the next time the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Изменение часовой пояс не представляет небольшой уязвимости, так как на время системы это не влияет. Changing the time zone represents little vulnerability because the system time is not affected. Этот параметр просто позволяет пользователям отображать предпочитаемый часовой пояс при синхронизации с контроллерами домена в разных часовых поясах. This setting merely enables users to display their preferred time zone while being synchronized with domain controllers in different time zones.

Противодействие Countermeasure

Меры противодействия не требуются, так как на системное время этот параметр не влияет. Countermeasures are not required because system time is not affected by this setting.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org . В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

• Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
• Enable Windows NTP Client: Enabled
• Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

• NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
• Type: NTP
• CrossSiteSyncFlags: 2
• ResolvePeerBackoffMinutes: 15
• Resolve Peer BAckoffMaxTimes: 7
• SpecilalPoolInterval: 3600
• EventLogFlags: 0

Примените созданный ранее фильтр PDC Emulator к данной политике.

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.