Multiple Local Group Policy objects

В данной статье я хочу рассказать о множественных локальных групповых политиках (Multiple Local Group Policy objects, MLGPOs) и вариантах их применения.

Теория

Какие бывают Local GPO?

На всех современных компьютерах с операционной системой Windows имеется возможность настройки локальной групповой политики.

В Windows XP, Windows 2000 и Windows Server 2003 существует только одна локальная групповая политика, содержащая в себе настройки компьютера и всех локальных учетных записей. В различных утилитах эта политика может называться Local Group Policy, Local Computer Policy и т.п. В русской версии Windows она называется “Локальный компьютер”. Особенностью политики “Локальный компьютер” является ее применение абсолютно ко всем пользователям компьютера. Например, отключенная через эту политику Control Panel будет недоступна всем пользователям, включая локальных администраторов.

В Windows Vista, Windows 7 и Windows Server 2008 появилась возможность создания нескольких локальных групповых политик:

  • Локальный компьютер
  • Администраторы
  • Не администраторы
  • Персональные GPO для каждой учетной записи

Полноценным GPO является только “Локальный компьютер”, остальные GPO содержат лишь подмножество пользовательских настроек.

image

Порядок применения нескольких локальных GPO

Порядок применения нескольких локальных групповых политик (и, соответственно, приоритет настроек) такой, как они перечислены в списке:

  • первой применяется политика “Локальный компьютер”;
  • второй применяется политика “Администраторы” или “Не администраторы”;
  • третьей применяется политика индивидуального пользователя.

 

Разрешение конфликтов множественных локальных GPO

Для начала напомню, что компьютерные настройки имеются только в GPO “Локальный компьютер”. При наличии конфликта между пользовательскими настройками и компьютерными, компьютерные всегда имеют более высокий приоритет.

При наличии конфликта пользовательских настроек между различными GPO действует правило “кто последний, тот и прав”, т.е. приоритетнее та политика, которая применяется позже.

Политики “Администраторы” и “Не администраторы” конфликтовать между собой не могут, поскольку к пользователю может применяться только одна из них; по той же причине не могут конфликтовать между собой индивидуальные пользовательские политики.

Практика

Настройка консоли редактирования локальных политик

Приведенные ниже скриншоты могут немного отличаться в различных версиях Windows.

Для конфигурирования локальной политики необходимо запустить Microsoft Management Console (Start –> Run –> mmc.exe).

image 

В открывшемся окне консоли нужно добавить оснастку Group Policy Object Editor (Редактор объекта групповой политики в русскоязычном варианте).

image 

После нажатия кнопки Добавить… открывается окно мастера выбора объекта GPO.

image

После нажатия кнопки Обзор… мастер выдает список доступных политик. Если настраиваемый компьютер включен в домен, то в мастере будут выведены вкладки доменных групповых политик.

Например, для Windows XP, включенной в домен, вкладки выглядят так…

image

…а для Windows 7, не включенной в домен, так:

image

Как видно из последнего рисунка, в Windows 7 существует возможность создания множественных локальных групповых политик.

Для администрирования множественных локальных групповых политик удобнее всего создать свою собственную консоль, в которую добавить все имеющиеся локальные GPO, например так:

image 

Где хранятся локальные GPO?

Все файлы политики “Локальный компьютер” хранятся в папке C:\WINDOWS\system32\GroupPolicy; файлы остальных локальных GPO хранятся в папке C:\WINDOWS\system32\GroupPolicyUsers.

После загрузки компьютера, а также после входа пользователя все настройки из политик применяются к локальному компьютеру. Изменения реестра заносятся в отдельные ветви: HKEY_LOCAL_MACHINE\SOFTWARE\Policies и HKEY_CURRENT_USER\SOFTWARE\Policies. Значения реестра в ветвях Policies имеют более высокий приоритет над настройками реестра по умолчанию.

Как удалить локальную политику?

Если вы хотите отказаться от одной из настроек политики, достаточно выставить ее в состояние “Не задано”. После применения политики данная настройка не будет вноситься в реестр в одну из ветвей Policies, и вернется та настройка, которая указана в реестре по умолчанию.

Если необходимо удалить GPO целиком, то можно открыть консоль, добавить оснастку Редактор объекта групповой политики и на вкладке Пользователи удалить политику (опция Удалить объект групповой политики доступна в контекстном меню, если GPO был создан ранее, и напротив него указано Да).

image

Если нужно удалить все локальные политики, достаточно почистить папки на диске, в которых политики хранятся.

Если требуется временно отключить локальную политику, то необходимо отключить пользовательскую или компьютерную конфигурацию политики через оснастку Редактор объекта групповой политики.

image

Практическое применение локальных групповых политик

Когда удобно применять локальные групповые политики? Варианты могут быть различные, некоторые идеи перечислены в списке:

  • ограничение индивидуальных учетных записей на домашних компьютерах;
  • настройка корпоративных компьютеров, не включенных в домен Active Directory;
  • начальная конфигурация корпоративных компьютеров, “зашитая” в установочном образе;
  • применение групповых политик для локальных учетных записей серверов и других компьютеров – членов домена (на локальные учетные записи пользователей доменная групповая политика не действует);
  • индивидуальная настройка компьютеров-членов домена, когда доменные групповые политики по каким-либо причинам не настроены (за исключением самих контроллеров домена, поскольку на них множественные локальные групповые политики недоступны).


Подробнее о настройках множественных локальных групповых политик: http://technet.microsoft.com/en-us/library/cc766291.aspx

Posted by Alexey Gorbunov on 11/02/2010
Теги:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)