Застосування групових політик (частина 2)

Продовжуючи тему застосування групових політик, розпочату у попередній статті, поговоримо про особливості застосування політик залежно від об'єкта застосування. Як відомо, об'єкт групової політики (GPO) може бути застосований як до користувача, так і до комп'ютера. Тому у кожного GPO є два незалежні розділи:

розділ User Configuration містить параметри, які застосовуються до користувача, а розділ Computer Configuration — параметри, які застосовуються до комп'ютера.

політик

Кожен із розділів не залежить один від одного і при необхідності може бути вимкнений у властивостях GPO. Відключення розділу, що не використовується, дозволяє зменшити трафік, що може бути актуально при великій кількості застосовуваних політик.

користувача

Пріоритет та порядок застосування

Застосування політик для користувача та комп'ютера дещо відрізняються. Політики комп'ютера застосовуються під час завантаження операційної системи та впливають на всіх користувачів цього комп'ютера. Політики користувача застосовуються при вході користувача в систему і, відповідно, впливають лише цього користувача.

Набір налаштувань для користувача і для комп'ютера досить сильно відрізняється, але все ж таки можна знайти однакові налаштування, що зустрічаються в обох розділах. І якщо говорити про пріоритет, то політики комп'ютера більш глобальні і мають більший пріоритет, ніж політики користувача.

Щоб переконатись у цьому, проведемо невеликий експеримент. Як піддослідні будуть робоча станція wks1 і користувач Kirill, до яких і застосовуватимуться відповідні політики.

Для початку зайдемо на wks1, запустимо Internet Explorer і перевіримо, що у нього є так звана Панель команд (Command bar).

політик

Тепер беремо об'єкт груповийполітики GPO2, призначений на домен, і в розділі User Configuration \ Administrative Templates \ Windows Components \ Internet Explorer \ Toolbars переводимо параметр "Hide the Command bar" в стан "Disabled". Це означає, що панель команд має бути помітна у вікні IE.

користувача

Знову заходимо в систему, запускаємо IE і переконуємось у тому, що панель на місці, а у властивостях IE пункт меню, що відповідає за приховування панелі команд, неактивний. Це означає, що цей параметр керується за допомогою групових політик.

користувача

Отже, політика користувача відпрацювала, час застосувати політику комп'ютера. Знову беремо GPO2 і в розділі Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Toolbars встановлюємо параметр "Hide the Command bar" у стан "Enabled". Ця настройка має протилежний ефект і означає, що панель команд у IE має бути прихована.

застосування

Ще раз заходимо на wks1, форсуємо застосування групових політик та відкриваємо вікно IE. Як бачите, тепер панель команд прихована, при цьому у властивостях IE відповідний пункт меню, як і раніше, неактивний. Це говорить про те, що політика комп'ютера успішно відпрацювала та перевизначила налаштування політики користувача.

політик

Замикання групової політики

Зрозуміло, що GPO, що містять налаштування користувача, повинні застосовуватися до OU, де користувачі. І навпаки, GPO з налаштуваннями для комп'ютерів повинні бути призначені на OU, які містять комп'ютери. І якщо взяти GPO, у якому перебувають параметри користувача, і спробувати застосувати його до OU, у якому перебувають комп'ютери, нічого не станеться, т.к. у налаштувань просто не буде об'єкта застосування.

Однак іноді бувають ситуації, до користувача необхідно застосуватиналаштування, що залежать від розташування комп'ютера. Наприклад, у вас є група термінальних серверів, для яких визначено спеціальні налаштування безпеки. Відповідно користувачі, які працюють на цих серверах, повинні отримати настройки, відмінні від своїх звичайних налаштувань.

У цій ситуації потрібно застосувати налаштування користувача до групи комп'ютерів. І допоможе цьому режим замикання групової політики (Loopback Processing mode).

Для включення цього режиму потрібно відкрити потрібний GPO, перейти до розділу Computer Configuration\Administrative Template\System\Group Policy, активувати параметр "Configure user Group Policy Loopback Processing mode" та вибрати потрібний режим роботи:

• Merge (злиття) — Установки користувача об'єднуються з налаштуваннями комп'ютера, а список налаштувань комп'ютера додається до кінця списку налаштувань користувача. Якщо відбувається конфлікт налаштувань, то налаштування комп'ютера мають більший пріоритет та перевизначають налаштування користувача; • Replace (заміна) — У цьому режимі налаштування користувача не використовуються, до користувача застосовується лише список налаштувань комп'ютера.

Примітка. При використанні Loopback Processing mode в режимі Merge політика відпрацьовує двічі. Про це треба пам'ятати, особливо під час використання logon-скриптів.

застосування

Для наочності візьмемо GPO3, призначений для OU Workstations. Як випливає з назви, у цьому OU знаходяться лише робочі станції, користувачів там немає. Відкриємо GPO3 на редагування та в розділіUser Configuration встановимо для користувача як малюнок робочого столу зображення loopback.png. Потім перейдемо в розділ Computer Configuration\Administrative Template\System\Group Policy і включимо Configure user Group PolicyLoopback Processing mode» у режимі «Merge».

користувача

Тепер заходимо на робочу станцію wks1, що у OU Workstations і бачимо, що шпалери робочого столу змінилися, тобто. до користувача застосовано політику GPO3, призначену на комп'ютери.

групових

На цьому другу частину статті вважатимуться закінченою. А в третій, заключній частині йтиметься про різні способи фільтрації групових політик.