Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Администрирование Пошаговое руководство по использованию возможностей набора Групповой политики RSS

Пошаговое руководство по использованию возможностей набора Групповой политики

Текущий рейтинг: 4 (проголосовало 16)
 Посетителей: 37010 | Просмотров: 69143 (сегодня 0)  Шрифт: - +

Блокировка наследования и Блокировка сверху

Блокировка наследования и Блокировка сверху позволяют контролировать правила наследования, выставленные по умолчанию. В этой инструкции Вы настроите Объект ГП в подразделении Accounts, по умолчанию применяемый к пользователям (и компьютерам) в подразделениях Headquarters, Production и  Marketing.
Затем Вы создадите другой Объект ГП в подразделении Accounts и настроите его с опцией Блокировка сверху. Блокировка сверху применяется к дочерним подразделениям, даже если для этого подразделения установлены конфликтующие настройки ОГП.
После чего Вы будете использовать Блокировку наследования, чтобы предотвратить применение Групповых политик родительского сайта, домена или подразделения к подразделению Production.
В данную секцию также включено описание того, как повысить производительность, запретив некоторые части ОГП (GPO).

Настройка среды

Для действий в этой секции сначала необходимо настроить среду.


Настройка среды ОГП

  • Откройте сохраненную консоль MMC – GPWalkthrough и раскройте узел Active Directory - пользователи и компьютеры
  • Дважды щелкните на домене reskit.com и выберите подразделение Accounts.
  • Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
  • Нажмите Создать и создайте новый ОГП под названием Default User Policies.
  • Нажмите Создать и создайте новый ОГП под названием Enforced User Policies.
  • Выберите Enforced User Policies ОГП и нажмите кнопку Вверх, чтобы передвинуть его наверх списка. Enforced User Policies ОГП должен иметь наибольший приоритет. Примечание: этот шаг всего лишь демонстрирует функциональность кнопки Вверх. Принудительный ОГП всегда имеет приоритет над остальными не принудительными Объектами ГП.
  • Установите Блокировка сверху для Enforced User Policies, дважды щелкнув колонку Блокировка сверху или используя кнопку Параметры. Свойства Accounts должны теперь выглядеть, как показано на рисунке 12:

    Figure 12: Enforced User Policies

    Рисунок 12: Enforced User Policies
    Увеличить рисунок.

  • Дважды щелкните Enforced User Policies ОГП для запуска оснастки «Групповая политика».
  • В оснастке «Групповая политика», в ветке Конфигурации пользователя нажмите Административные шаблоны, затем Система, и потом Вход/Выход.
  • В окне сведений дважды щелкните на политике Отключить диспетчер задач, нажмите Включен в диалоговом окне Отключить диспетчер задач и затем нажмите ОК. Для информации по политике перейдите в закладку Объяснение. Обратите внимание, что эта настройка теперь Включена, как показано на рисунке 13 ниже:

    Figure 13: Task Manager

    Рисунок 13. Диспетчер задач
    Увеличить рисунок.

  • Нажмите кнопку Закрыть, чтобы завершить работу с оснасткой «Групповая политика».
  • В диалоговом окне Свойства Accounts, на вкладке Групповая политика, в списке Ссылки на объект групповой политики дважды щелкните объект Default User Policies.
  • В оснастке «Групповая политика», в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните на Рабочий стол, потом на папке Active Desktop и затем в окне сведений дважды щелкните на политике «Отключить Active Desktop».
  • Выберите Включена, нажмите ОК и затем нажмите Закрыть.
  • В диалоговом окне Свойства Accounts нажмите Закрыть.

Теперь, если Вы войдете на рабочую станцию с учетными данными пользователя в любом дочернем подразделении Accounts, Вы заметите, что Диспетчер задач более не может быть запущен – вкладка просто не доступна при комбинации клавиш CTRL+SHIFT+ESC и CTRL+ALT+DEL. Вдобавок, Active Desktop так же не может быть включен. Если Вы щелкните правой кнопкой мыши на Рабочем столе и выберите Свойства, Вы увидите, что вкладка Web отсутствует.
Как дополнительный шаг, Вы можете полярно развернуть настройки политики «Отключить Диспетчер задач» в каком-либо Объекте ГП, связанном с любым дочерним подразделением Accounts (Headquarters, Production, Marketing). Для этого измените переключатель для этой политики.
Примечание: Это действие не окажет никакого влияния, пока включен Объект ГП - Enforced User Policies в подразделении Accounts.

Отключение частей Объекта Групповой политики

Так как созданные ранее Объекты ГП используются только для конфигураций пользователя, то часть ОГП (GPO), отвечающая за настройки компьютера, может быть отключена. Это снизит время загрузки компьютера, так как Объекты ГП компьютера не нуждаются в проверке на существование. В этой инструкции не рассматриваются компьютеры, на которых распространяется действие этих двух Объектов ГП, поэтому отключение части Объекта ГП не несет очевидной пользы. Тем не менее, так как данные Объекты ГП в дальнейшем могут быть связаны с другим подразделением, которое может содержать настройки для компьютеров, Вы, возможно, захотите отключить «компьютерную» часть этих Объектов ГП.


Отключение Компьютерной части Объекта ГП

  • Откройте сохраненную ранее консоль MMC – GPWalkthrough и раскройте узел Active Directory - пользователи и компьютеры
  • Дважды щелкните на домене reskit.com
  • Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
  • В диалоговом окне Свойств Accounts перейдите на вкладку Групповая политика, щелкните правой кнопкой мыши на Объекте Enforced User Policies и выберите Свойства.
  • В диалоговом окне Enforced User Policies перейдите на вкладку Общие и затем установите флажок «Отключить параметры конфигурации компьютера». В диалоговом окне Подтвердить отключение нажмите Да.
  • Обратите внимание, что на вкладке Общие есть две опции для отключения частей ОГП.
  • Повторите шаги 4 и 5 для Объекта ГП - Default Users Policies.

Блокировка наследования

Можно заблокировать наследование политик так, чтобы один Объект ГП не переписывал политику другого Объекта в лестнице иерархии. После блокировки наследования на пользователей данного подразделения действуют только настройки Enforced User Policies.


Блокировка наследования Групповой политики для подразделения Production

  • Откройте сохраненную ранее консоль MMC – GPWalkthrough и дважды щелкните Active Directory - пользователи и компьютеры
  • Дважды щелкните на домене reskit.com, затем дважды щелкните на подразделении Accounts.
  • Щелкните правой кнопкой мыши на подразделении Production, из контекстного меню выберите Свойства и перейдите на вкладку Групповая политика.
  • Выберите Блокировать наследование политики и нажмите ОК.

Чтобы убедиться, что настройки наследования теперь заблокированы, войдите в систему с учетными данными пользователя подразделения Production. Обратите внимание, что закладка Web теперь присутствует в свойствах экрана. Также обратите внимание, что Диспетчер задач по прежнему не доступен, так как для него был выставлен параметр «Блокировка сверху» в родительском подразделении.

Top of pageНаверх страницы

 

Связь Объекта ГП с несколькими сайтами, доменами и подразделениями

В этом разделе рассматривается соединение одного Объекта ГП с несколькими контейнерами (сайт, домен, подразделение) в Active Directory. В зависимости от точной конфигурации подразделения можно использовать другие способы для достижения такого же результата. Например, Вы можете использовать фильтрацию по группам безопасности или блокировку наследования. Тем не менее, в некоторых случаях описанные методы не дают нужного эффекта.
Если Вам когда-либо понадобится отдельно указать, какие сайты, домены или подразделения подвергаются одинаковому набору политик, используйте метод, описанный ниже:
Связь ОГП с несколькими сайтами, доменами и подразделениями

  • Откройте сохраненную ранее консоль MMC – GPWalkthrough и дважды щелкните Active Directory - пользователи и компьютеры
  • Дважды щелкните на домене reskit.com и затем дважды щелкните на подразделении Accounts.
  • Щелкните правой кнопкой мыши на подразделении Headquarters, из контекстного меню выберите Свойства и перейдите на вкладку Групповая политика.
  • В диалоговом окне Свойств Headquarters на вкладке Групповая политика нажмите Создать и создайте новый Объект ГП под названием Linked Policies.
  • Выберите ОГП Linked Policies и нажмите Редактировать.
  • В оснастке «Групповая политика», в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните Панель управления и затем «Экран»
  • В окне сведений щелкните на политике «Запретить изменение фонового рисунка», и за этим выберите Включена в диалоговом окне «Запретить изменение фонового рисунка» и нажмите ОК.
  • Закройте оснастку «Групповая политика»
  • Закройте свойства Headquarters.

Следующим шагом Вы подключите Linked Policies ОГП к другому подразделению.

  • В консоли GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните на подразделении Accounts.
  • Щелкните правой кнопкой мыши на подразделении Production, из контекстного меню выберите Свойства и перейдите в закладку Групповая политика.
  • Нажмите кнопку Добавить или щелкните правой кнопкой мыши на пустом месте в списке Ссылки на объект групповой политики и выберите Добавить из контекстного меню.
  • В диалоговом окне Добавить связь объекта групповой политики нажмите стрелку  Искать в и выберите подразделение Accounts.reskit.com.
  • Дважды щелкните на подразделении Headquarters.Accounts.reskit.com в списке Домены, Подразделения и связанные объекты групповой политики.
  • Щелкните ОГП Linked Policies и затем нажмите ОК.

Так образом Вы связали один Объект ГП с двумя подразделениями. Изменения в Объекте ГП, сделанные из любого места, будут иметь эффект на оба подразделения. Это можно проверить, изменив какие-либо политики в ОГП Linked Policies, а потом войдя в систему в каждом из подразделений Headquarters и Production.

Top of pageНаверх страницы

 

Процесс замыкания на себя

Этот раздел демонстрирует, как использование процесса замыкания на себя позволяет применять различные наборы групповых политик в зависимости от того, на какой компьютер вошел пользователь. Это полезно, когда Вам необходимо применять различные пользовательские политики на разных компьютерах. Существует два метода. Первый позволяет применение настроек данного пользователя, также как и применяет политики, в зависимости от того, на каком компьютере работает пользователь. Второй метод не применяет настройки пользователя, а только применяет политики, в зависимости от списка Объектов ГП для данного компьютера. Детально этот метод был рассмотрен в технической документации Групповой политики, упомянутой выше в этом документе.


Использование политики замыкания на себя

  • Откройте консоль GPWalkthrough, дважды щелкните Active Directory - пользователи и компьютеры, за тем дважды щелкните на домене reskit.com и потом дважды щелкните на подразделении Resources.
  • Щелкните правой кнопкой мыши на подразделении Desktop, выберите Свойства из контекстного меню и перейдите в закладку Групповая политика.
  • Нажмите Создать и создайте новый ОГП под названием Loopback Policies.
  • Выделите ОГП Loopback Policies и нажмите Редактировать.
  • В оснастке «Групповая политика», в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Система и Групповая политика.
  • В окне сведений дважды щелкните на политике Режим обработки замыкания пользовательской групповой политики.
  • Нажмите Включена в диалоговом окне Режим обработки замыкания пользовательской групповой политики, выберите Заменить в раскрывающемся меню Режима и нажмите ОК для завершения.

Следующим шагом будет настройка несколько полити Конфигурации пользователя, используя кнопку Следующая политика в диалоговом окне политики.

  • В оснастке «Групповая политика», в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Панель задач и меню «Пуск».
  • В окне сведений дважды щелкните на политике «Удалить папки пользователя из Главного меню» и выберите Включена в диалоговом окне.
  • Для применения политики нажмите Применить и кнопку Следующая политика, чтобы перейти к следующей политике – «Удалить ссылки и запретить использование Windows Update».
  • В диалоговом окне Удалить ссылки и запретить использование Windows Update нажмите Включить, затем Применить и нажмите кнопку Следующая политика.
  • В каждом из перечисленных ниже диалоговых окон политик установите состояние политики, как показано ниже:

Политика

Параметры

Удалить стандартные программы из меню Пуск

Включена

Удалить документы из меню Пуск

Включена

Отключить программы в меню Установки

Включена

Удалить Сетевые подключения из меню Пуск

Включена

Удалить Избранные из меню Пуск

Включена

Удалить Поиск из меню Пуск

Включена

Удалить Справку из меню Пуск

Включена

Удалить команду Выполнить из меню Пуск

Включена

Добавить Выход в меню Пуск

Включена

Отключить Выход в меню Пуск

Не задана

Отключить и удалить команду Выключить

Не задана

Отключить перетаскивание контекстного меню в меню Пуск

Включена

Отключить изменения для Панели задач и настроек меню Пуск.

Включена

Отключить контекстное меню панели задач

Включена

Не сохранять историю недавно открываемых документов

Включена

Очищать историю недавно открываемых документов на выходе

Включена

  • Нажмите ОК по окончанию.
  • В дереве консоли Групповой политики перейдите в узел Рабочие столы в ветке Конфигурация Пользователя\Административные шаблоны и установите следующие политики включенными:

Политика

Параметры

Спрятать Убрать Мои документы из меню Пуск

Включена

Спрятать значок Мои сетевые ресурсы на рабочем столе

Включена

Спрятать значок Internet Explorer на рабочем столе

Включена

Запретить пользователю изменять путь к Моим документам

Включена

Отключить добавление, перетаскивание и закрытие панели задач и его компонентов

Включена

Отключить регулировку панелей инструментов рабочего стола

Включена

Не сохранять настройки на выходе

Включена

  • Нажмите ОК после того, как Вы задали установки.
  • В дереве консоли Групповой политики перейдите в узел Active Desktop в ветке Конфигурация пользователя\Административные шаблоны\Рабочие столы и установите «Отключить Active Desktop» включенным, затем нажмите ОК.
  • В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, раскройте узел Установка и удаление программ, дважды щелкните политику «Отключить установку и удаление программ», установите переключатель в положение Включена и нажмите ОК.
  • В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, перейдите в узел Экран, дважды щелкните на политике «Отключить Экран в контрольной панели», установите переключатель в положение Включена и нажмите ОК.
  • Закройте оснастку «Групповая политика».
  • В диалоговом окне Свойств Desktops нажмите Закрыть.

В данный момент для пользователей компьютеров в подразделении Desktops нет применяемых политик. Вместо этого для них настроены политики пользователя в Объекте ГП Loopback Policies. Вы можете использовать инструкцию в разделе Фильтрация по группам безопасности, чтобы ограничить политику Loopback Policies для определенных групп компьютеров. Альтернативно, Вы можете перенести некоторые компьютеры в другое подразделение.
Для следующего примера необходимо создать группу безопасности No Loopback. Для этого воспользуйтесь оснасткой Active Directory - пользователи и компьютеры, выберите контейнер по названием Groups, нажмите Создать и создайте глобальную группу безопасности.
В этом примере из политики замыкания на себя мы исключим компьютеры, принадлежащие к группе безопасности No Loopback. Следуйте шагам, описанным ниже:

  • Откройте консоль GPWalkthrough, дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните на домене reskit.com и дважды щелкните на подразделении Resources, щелкните правой кнопкой мыши на Рабочий стол и выберите Свойства.
  • В диалоговом окне Свойства рабочего стола перейдите на вкладку Групповая политика, щелкните правой кнопкой мышки на ОГП Loopback Policies и выберите Свойства.
  • В диалоговом окне Свойства Loopback Policies перейдите на вкладку Безопасность и для пользователей группы Authenticated Users установите политику «Применить Групповую политику» разрешенной.
  • Добавьте группу No Loopback в список имен. Для этого нажмите Добавить, выберите группу No Loopback и нажмите ОК.
  • Для группы No Loopback выберите Запретить для элемента «Применить Групповую политику» и нажмите ОК.
  • Нажмите ОК в диалоговом окне Свойства Loopback Policies.
  • Закройте диалоговое окно Свойства рабочего стола.
  • В меню консоли GPWalkthrough нажмите Сохранить.

Top of pageНаверх страницы

 

Автор: Елена Трубицына aka Ginger  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 23.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
02.04.2016/15:36  михаил5

Здравствуйте.
Перед тем как настраивать политики нужно точно знать что они могут а что не могут, иначе просто потеряешь время. Решил изучить их возможности, да не тут то было. Долго искал на просторах интернета полное описание всех групповых политик в xp. Не нашел. За 4 дня собрал такое описание сам. Теперь, чтобы не тратить время и электричество впустую, изучая возможности политик на компьютере, - можно просто распечатать описание, и просмотрев - помечать, что и как настроить.
Такой подход очень экономит время и ускоряет работу.
Выкладываю их полное описание, чтобы другие люди не тратили 4 дня (а то и больше) на изучение возможностей политик, чтобы работа не вставала. Два документа 156 и 99 страниц. Удачной работы.
https://yadi.sk/i/FFSxckHyqgQGy
https://yadi.sk/i/yVFPgWvPqgQH6
Комментарии отключены. С вопросами по статьям обращайтесь в форум.