Управління локальними груповими політиками у системі Vista, Windows IT Pro

Параметри безпеки, а також інші налаштування конфігурації комп'ютерів, які не входять до домену Windows Active Directory (AD), таких як спільні тестові системи, бібліотечні кіоски та демонстраційні робочі станції, можна встановлювати за допомогою локальних політик комп'ютера (Local Computer Policy).

Параметри безпеки, а також інші налаштування конфігурації комп'ютерів, які не входять до домену Windows Active Directory (AD), таких як спільні тестові системи, бібліотечні кіоски та демонстраційні робочі станції, можна встановлювати за допомогою локальних політик комп'ютера (Local Computer Policy). Один з головних недоліків визначення зазначених налаштувань у політиці Local Computer Policy в системі Windows до виходу версії Windows Vista полягав у тому, що до систем, не підключених до домену, можна застосовувати лише одну політику, і ця політика поширюється на всіх користувачів даної системи . Отже, адміністраторам, у яких виникає необхідність зареєструватися на комп'ютері та керувати ним без обмежень, доводиться долати певні труднощі для скасування налаштувань, які застосовуються до звичайних користувачів.

Але в середовищі Vista можна працювати з кількома об'єктами локальних групових політик, і це дає можливість забезпечувати більш високий рівень гнучкості параметрів безпеки та конфігураційних налаштувань при керуванні системами, які не входять до домену AD. Розглянемо, як у середовищі Vista здійснюється обробка кількох об'єктів локальної групової політики і як слід встановлювати різні настройки кожному з користувачів локальної системи. Зазначимо, що у контексті цієї статті слово «політика»означає локальну групову політику (Local Group Policy), а чи не групову політику AD (AD Group Policy), якщо текст не вказано інше.

управління

Декілька локальних групових політик

У системах Windows, що експлуатувалися до появи версії Vista, було реалізовано лише один об'єкт локальної групової політики – Local Computer Policy. Цей об'єкт містить установки як для комп'ютера, так і для користувачів. Об'єкт Local Computer Policy (відомий також як Local Group Policy) існує і в Vista, причому його можна використовувати так само, як у системах Windows XP і Windows 2000. Наприклад, в середовищі Vista об'єкт Local Group Policy можна застосовувати для визначення налаштувань, які будуть ставитись до всіх користувачів даної системи.

Але у Vista реалізовані і більш деталізовані засоби. З одного боку, ви можете визначити локальну групову політику, яка містить і налаштування користувача, і комп'ютерні налаштування, а з іншого — визначати такі політики, як Administrators Local Group Policy і Non-Administrators Local Group Policy; обидві вони містять лише налаштування користувача. Можна також створювати будь-яку кількість локальних групових політик для тих чи інших користувачів. Такі політики застосовуються до локальних облікових записів користувачів і містять лише налаштування користувача. Зазначимо, що в кожний момент часу до того чи іншого користувача може бути застосована лише одна політика, і система Vista автоматично розраховує, яка політика повинна бути застосована до користувача в залежності від членства останнього в локальних групах. Наприклад, якщо облікові записи не належать до локальної групи Administrators, Vista застосує до таких облікових записів політику Non-Administrators Local Group Policy.

Обробка локальних групових політик

Отже, адміністратор може створювати в середовищі Vista безліч локальних групових політик, тому не дивно, що порядок, в якому використовуються об'єкти локальних групових політик, має велике значення. Як і у випадку з груповими політиками AD існує певна ієрархія обробки: перш за все застосовується локальна групова політика Local Group Policy. Потім йде Administrator Local Group Policy або Non-Administrator Local Group Policy. І в останню чергу застосовуються політики, визначені спеціально для того чи іншого користувача. Остання з оброблюваних політик має пріоритет стосовно решти.

Нижче наводиться поетапний опис налаштування об'єктів локальних групових політик, і навіть пояснюється, як вони обробляються. Перед тим як приступати до налаштування декількох об'єктів локальних групових політик, потрібно створити локальний обліковий запис (за допомогою якого ви будете відчувати локальні групові політики). Цей запис має бути членом лише однієї локальної групи – групи Users.

Три об'єкти локальної групової політики, додані в MMC, повинні бути доступні для редагування.

системі

Тепер давайте задамо налаштування Hide Desktop Tab у кожному об'єкті локальної групової політики (щоб дістатися до цього налаштування, потрібно, як показано на екрані 2, послідовно вибирати пункти User ConfigurationAdministrative TemplatesControl PanelDisplay). У результаті ми матимемо демонстрацію того, як обробляються об'єкти локальної групової політики. У таблиці наведено параметри Hide Desktop Tab для кожної локальної групової політики.

Налаштувавши конфігурацію кожної локальної групової політики, слід відкрити вікно командного рядка та ввести команду

Ця команда забезпечує негайну обробку локальної групової політики. Далі потрібно зареєструватися зі стандартним обліковим записом користувача, для якого була створена призначена для відповідного користувача локальна групова політика (Local Computer PolicyUser), і відкрити панель управління. Хоча цей користувач і не є членом локальної групи Administrators, ви можете переглядати вкладку Desktop, а також змінювати фон робочого столу, оскільки політика Local Computer PolicyUser оброблялася після всіх інших політик, а значить, якщо ця політика наказує не використовувати ту чи іншу налаштування, налаштування не застосовується навіть у тому випадку, коли політика Local Computer PolicyNon-Administrators наказує це робити.

Тепер закрийте вікно панелі керування та знову зареєструйтеся в системі з обліковим записом адміністратора; це потрібно для модифікації політики Local Computer PolicyUser, щоб налаштування Hide Desktop Tab не застосовувалося. Після цього знову виконуємо команду

Тепер потрібно знову зареєструватися в системі з обліковим записом користувача та відкрити вікно панелі керування. Цього разу при спробі змінити колір фону робочого стола на екрані має з'явитися повідомлення про те, що цю функцію вимкнено, як показано на екрані 3. У цьому випадку керуюча приховування робочого столу налаштування політики Non-Administrators Local Group Policy має пріоритет, оскільки у відношенні до конкретного користувача локальної групової політики дана настройка була виконана. Усі користувачі локальної системи, які є членами групи Administrators, зможуть модифікувати фон робітникадля всіх інших користувачів доступ до налаштувань робочого столу буде закрито.

груповими

Видалення об'єктів локальних групових політик

Ви можете видалити локальні групові політики Administrator/Non-Administrator або складені для конкретних користувачів локальні групові політики, проте можливість видалення об'єктів локальних групових політик не передбачено. Щоб видалити локальні групові політики Administrator/Non-Administrator або складені для конкретних користувачів локальні групові політики, клацніть правою клавішею миші на політиці, яку потрібно видалити, потім вибрати в меню пункт Remove Group Policy Object і натиснути кнопку Yes.

Вимкнення функції обробки локальної групової політики

Якщо користувач домену має повноваження адміністратора на тій чи іншій системі і ви хочете, щоб він застосовував лише ті політики, які сформовані на базі домену, це можна здійснити, вимкнувши функцію обробки локальних групових політик. Цю операцію можна виконати, коли машина підключена до домену AD. Для цього потрібно вибрати налаштування Turn off Local Group Policy objects processing, встановити яку можна, послідовно вибираючи пункти Computer ConfigurationAdministrative TemplatesSystemGroup Policy.

Функцію обробки кількох об'єктів локальних групових політик зручно застосовувати в ситуаціях, коли для кожного користувача комп'ютера необхідно визначити спеціальні налаштування захисту даних або конфігурації і коли комп'ютер не підключений до домену. Обробка низки об'єктів локальних групових політик здійснюється аналогічно до того, як обробляються групові політики AD, отже принцип локальної групової політики простий. У зв'язку з тим, що система обробляє кількаоб'єктів локальних групових політик, налаштування Vista може ускладнитися, проте ця обставина не повинна впливати на процедуру створення об'єктів групових політик (Group Policy Object, GPO) на базі доменів. Завдяки можливості налаштування кількох об'єктів локальних групових політик адміністратори отримують ефективніші засоби контролю безпеки та управління налаштуваннями в ситуаціях, коли управління на основі доменів неможливе або небажане.

Таким чином, середовище Windows Vista забезпечує можливість конфігурування та обробки кількох об'єктів локальних групових політик.

Windows Vista дозволяє керувати кількома об'єктами локальних групових політик для машин, які не входять до домену Active Directory.

У цій системі допускається конфігурування об'єктів Local Group Policy, Administrators Local Group Policy, Non-Administrators Local Group Policy, а також об'єктів локальних групових політик, пов'язаних із конкретними користувачами.

Рассел Сміт ([email protected]) - незалежний ІТ-консультант, спеціалізується на управлінні системами

Поділіться матеріалом з колегами та друзями