|
|
|||||||||||||||||||||||||||||
|
Как действует многоуровневая локальная групповая политикаИсточник: winblogru Greg Shultz,SVET
Как действует многоуровневая локальная групповая политика Локальная групповая политика в Windows XP позволяет изменять сотни системных и пользовательских параметров настройки, чтобы ограничить или наоборот расширить доступ к различным элементам системы, в зависимости от того, какую степень свободы вы готовы предоставить пользователям компьютера. Однако эти настройки действуют для всех пользователей - даже для администраторов. Чтобы управлять настройками для отдельных пользователей в рамках одной системы, в Windows 7 применяется многоуровневая локальная групповая политика, состоящая из трех уровней: • первый уровень - стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки (политики), которые будут действовать для всех пользователей, включая администратора; Нетрудно догадаться, что перечисленные политики обрабатываются последовательно в зависимости от уровня. Сначала применяется локальная групповая политика, затем политика для администраторов/не-администраторов, и наконец, политика для конкретных пользователей. При конфликтующих настройках предпочтение отдается той политике, которая обрабатывается последней. К примеру, если локальная групповая политика, которая применяется первой, отключает определенные настройки, а политика для конкретного пользователя их наоборот активирует, эти настройки остаются включенными, поскольку Windows 7 обрабатывает пользовательскую политику последней. Если существует несколько пользовательских политик, и лишь одна из них активирует определенные настройки, эти настройки будут отключены для тех учетных записей, для которых действует только локальная групповая политика. Пример Теперь, когда вы представляете, как работает многоуровневая локальная групповая политика, давайте рассмотрим ее применение на примере. Предположим, у нас есть два пользователя одного компьютера, Дик и Джейн. Нам нужно сделать так, чтобы Панель управления открывалась для них в виде списка значков, а не по категориям. Кроме того, мы хотим ограничить возможности Дика по редактированию меню "Пуск" и панели задач, оставив при этом Джейн полную свободу действий в данном отношении. Создание консоли управления Для начала создадим новую консоль управления (Microsoft Management Console, MMC), в которую будем добавлять объекты групповой политики. Откройте меню "Пуск" (Start), введите в строке поиска "mmc" (без кавычек), нажмите [Enter] и подтвердите выполнение операции в окне контроля учетных записей (UAC). В появившемся окне откройте меню "Файл" (File) и выберите опцию "Добавить или удалить оснастку" (Add/Remove Snap-in). В диалоговом окне "Добавление и удаление оснасток" (Add/Remove Snap-ins) найдите и выделите "Редактор объектов групповой политики" (Group Policy Object Editor), а затем нажмите кнопку "Добавить" (Add). Чтобы воспользоваться многоуровневой локальной групповой политикой, необходимо создать консоль управления
Найдите и выделите "Редактор объектов групповой политики" в диалоговом окне "Добавление и удаление оснасток".
В окне Мастера групповой политики (Group Policy Wizard), как видите, по умолчанию выбран "Локальный компьютер" (Local Computer). Это стандартная локальная групповая политика - первый уровень. Чтобы ее добавить, просто нажмите "Готово" (Finish).
Первый уровень многоуровневой групповой политики - локальная групповая политика, или политика локального компьютера.
Вернувшись в окно добавления оснастки, снова выделите "Редактор объектов групповой политики" и нажмите "Добавить". На этот раз нажмите в появившемся окне мастера кнопку "Обзор" (Browse), чтобы вызвать диалоговое окно "Поиск объекта групповой политики" (Browse for a Group Policy Object). Откройте вкладку "Пользователи" (Users), выделите группу "Не администраторы" (Non-Administrators) и нажмите "OK", а затем "Готово".
В диалоговом окне "Поиск объекта групповой политики" можно выбирать группы пользователей и отдельные учетные записи.
Теперь повторите описанные действия, чтобы с помощью диалоговом окна "Поиск объекта групповой политики" добавить политики сначала для Дика, потом для Джейн. Это будут политики третьего уровня. Наконец нажмите "OK", чтобы закрыть диалоговое окно "Добавление и удаление оснасток". Сохраните ее с каким-нибудь подходящим именем, например "Multi-Local-GPO.msc". Из единой консоли удобно управлять и настраивать политики
Настройка политик Поскольку мы хотим изменить настройки только для Дика и Джейн, начинать нужно с конфигурации политики для не-администраторов, а не с локальной политики, которая действует для всех пользователей. Чтобы изменить формат представления Панели управления по умолчанию, разверните раздел "Политика "Локальный компьютер / Не администраторы / Административные шаблоны / Панель управления"" (Local Computer / Non-Administrators Policy / User Configuration / Administrative Templates / Control Panel) и выделите политику "Всегда открывать все элементы панели управления при ее открытии" (Always Open All Control Panel Items When Opening the Control Panel). Дважды щелкните на ней, выберите опцию "Включить" (Enabled) и нажмите "OK". Политики для рядовых пользователей настраиваются в разделе "Не администраторы" Чтобы ограничить Дику доступ к настройкам меню "Пуск" и панели задач, разверните раздел "Политика "Локальный компьютер / Дик / Административные шаблоны / Панель управления / Меню "Пуск" и панель задач"" (Local Computer / Dick Policy / User Configuration / Administrative Templates / Start Menu and Taskbar) и включите или отключите нужные политики для опций, которые должны быть недоступны Дику. Чтобы оставить Джейн неограниченный доступ к настройкам меню "Пуск" и панели задач, сохраните параметры по умолчанию. Включите отдельные политики для каждой из учетных записей, чтобы ограничить пользователям доступ к определенным настройкам
Для завершения операции сохраните новую консоль и закройте ее. Теперь при следующем входе в систему для Дика и Джейн будут действовать разные настройки в соответствии с политиками для не-администраторов и отдельных учетных записей.
|
|