На этой странице
Введение
Организация безопасной, надежной работы компьютеров и пользовательских рабочих станций является важной и ответственной задачей ИТ-администраторов. На сегодняшний день для настройки компьютера можно использовать сотни, если не тысячи, самых разнообразных параметров. Некоторые из этих параметров являются достаточно простыми, а некоторые могут надолго озадачить сотрудников службы поддержки. Для решения сложных задач в доменном окружении администраторы используют групповую политику, но как решать такие задачи на компьютерах, которые не входят в домен? Для этого операционная система Windows Vista предлагает использовать новую функциональную возможность – технологию нескольких объектов локальной групповой политики (Multiple Local Group Policy objects, MLGPO).
Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение. В качестве примера можно привести компьютерную среду в библиотеке или Интернет-киоск.
В этом руководстве содержится ряд пошаговых сценариев, демонстрирующих то, каким образом можно настроить объекты MLGPO на изолированном компьютере под управлением ОС Windows Vista. После успешного выполнения этих сценариев Вы поймете и оцените всю мощь и гибкость объектов MLGPO и узнаете, как можно применять их в Вашей рабочей среде.
Наверх страницы
Обзор технологии
Локальная групповая политика является частью более широкой технологии – групповой политики. Групповая политика используется в доменном окружении, в то время как локальная групповая политика применяется локально на отдельном компьютере. Обе этих технологии позволяют администраторам настраивать определенные параметры операционной системы и затем в принудительном порядке применять их к пользователям и компьютерам. Однако локальная групповая политика не обладает такой гибкостью, как групповая политика, использующаяся в доменном окружении. Например, используя доменную групповую политику, администраторы могут настраивать любое количество различных политик, затрагивающих как отдельных, так и всех пользователей компьютера, входящего в домен, либо не затрагивающих никого вообще. Более того, такие политики могут применяться к пользователям на основании их принадлежности к определенной доменной группе. Однако локальная групповая политика позволяет настроить только одну политику, применяющуюся к отдельному компьютеру и ко всем пользователям этого компьютера, включая локального администратора. Данное обстоятельство усложняет администрирование изолированного компьютера, поскольку одна и та же политика применяется как к обычным пользователям, так и к администратору.
В состав ОС Windows Vista включена технология нескольких объектов локальной групповой политики (MLGPO), являющаяся улучшением предыдущей версии локальной групповой политики. Технология MLGPO позволяет администраторам локальных компьютеров применять различные объекты групповой политики (ГП) к пользователям этих компьютеров. Windows Vista позволяет использовать три уровня объектов локальной групповой политики: политику локального компьютера, политику групп администраторов/не администраторов и политику конкретного пользователя. Порядок применения этих объектов групповой политики следующий: сначала применяется политика локального компьютера, затем политика группы администраторов либо не администраторов, в последнюю очередь применяется политика конкретного пользователя.
Политика «Локальный компьютер»
Уровень, на котором находится политика Локальный компьютер, является верхним уровнем списка объектов MLGPO. Политика Локальный компьютер является единственным объектом ГП, позволяющим настраивать параметры компьютера. Хотя данная политика позволяет также настраивать пользовательские параметры, учтите, что эти параметры будут применяться ко всем пользователям данного компьютера, включая локального администратора. Политика Локальный компьютер работает точно так же, как и в ОС Windows XP.
Политики «Локальный компьютер\Администраторы» и «Локальный компьютер\Не администраторы»
Каждый компьютер под управлением Windows Vista содержит список встроенных групп и пользователей, которые создаются при установке или обновлении ОС до Windows Vista. Одной из этих групп является группа Администраторы. По умолчанию в этой встроенной группе содержится только учетная запись администратора компьютера – Администратор. С точки зрения ОС Windows все пользователи, чьи учетные записи входят в группу Администраторы, являются администраторами компьютера и наоборот – если учетная запись пользователя не входит в данную группу, он считается обычным пользователем, не являющимся администратором.
Вместе объекты ГП Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы представляют собой один уровень и при входе всех локальных пользователей в систему логически разделяют их на две группы. Таким образом, пользователь либо является администратором, либо не является им. В первом случае пользователю назначаются все параметры, определенные в объекте ГП Локальный компьютер\Администраторы. Во втором случае пользователю назначаются параметры, определенные в объекте ГП Локальный компьютер\Не администраторы. Объекты Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы являются новыми объектами ГП, которых не было до появления ОС Windows Vista.
Политика «Локальный компьютер\<Учетная запись пользователя>»
Администратор компьютера может создавать новые локальные учетные записи пользователей. Эти учетные записи хранятся на компьютере вместе со списком встроенных групп и пользователей. Для того чтобы назначить определенные параметры конкретному пользователю, администратор может использовать последний уровень списка объектов MLGPO – Локальный компьютер\<Учетная запись пользователя>
Порядок применения политик
Преимущества технологии MLGPO достигаются за счет последовательного применения трех отдельных уровней политик. Первым применяется объект ГП Локальный компьютер, который может содержать как параметры компьютера, так и параметры пользователя. При этом последние применяются ко всем пользователям компьютера, включая локальных администраторов. На следующем этапе применяются объекты ГП второго уровня – Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы. Пользователь получает параметры одного из этих объектов ГП в зависимости от того, входит его учетная запись в локальную группу Администраторы или нет. Ни один из этих двух объектов не содержит параметров конфигурации компьютера. В последнюю очередь применяется объект ГП, назначенный конкретному пользователю. Этот объект третьего уровня содержит параметры, применяющиеся только к конкретному пользователю локального компьютера, указанному администратором.
Обобщая, можно сказать, что сначала применяется политика локального компьютера, затем политика группы администраторов либо обычных пользователей, и в завершении – политика конкретного пользователя.
Разрешение конфликтов при применении нескольких объектов ГП
Все объекты локальной групповой политики имеют одинаковый набор пользовательских параметров. Возможны случаи, когда одни и те же параметры имеют различные значения в разных объектах ГП. Для разрешения этих конфликтов в Windows Vista используется метод, при котором предыдущее значение параметра перезаписывается значением параметра того объекта ГП, который был применен позже. Таким образом, результирующее значение параметра определяется значением параметра объекта ГП, который был применен в последнюю очередь.
Допустим, администратор включает какой-либо параметр в политике локального компьютера, но отключает этот же параметр в политике конкретного пользователя. Когда пользователь, не являющийся администратором, входит в систему, Windows применяет политику локального компьютера, затем политику группы обычных пользователей, и затем политику для этого конкретного пользователя. После применения политики локального компьютера параметр имеет значение «Включено». В политике группы обычных пользователей этот параметр не настраивался, поэтому данная политика не затрагивает его, и он остается включенным. В политике пользователя этот параметр отключен, поэтому после ее применения он имеет значение «Отключено». Поскольку Windows применяет политику пользователя в последнюю очередь, данная политика имеет наивысший приоритет, а приоритет политики локального компьютера является самым низким. Результирующим значением параметра будет «Отключено».
Компьютеры, входящие в состав домена
Использование объектов MLGPO наиболее эффективно при локальном управлении компьютерами. На компьютерах, входящих в состав домена, применяется сначала локальная групповая политика, а затем групповая политика домена. При этом Windows Vista продолжает использовать механизм, при котором политика, применившаяся в последнюю очередь, имеет наивысший приоритет. Следовательно, при возникновении конфликтов результирующими значениями параметров будут являться значения, определенные в групповой политике домена. Они заменят значения, определенные в любом объекте локальной групповой политики, включая административные, неадминистративные и пользовательские политики. Администратор домена может отключить применение объектов локальной групповой политики на клиентских компьютерах, включив параметр Выключение обработки локальных объектов групповой политики в разделе Конфигурация компьютера – Административные Шаблоны – Система – Групповая Политика объекта групповой политики домена.
Наверх страницы
Требования для успешного выполнения сценариев этого руководства
Для успешного выполнения сценариев, представленных в этом руководстве, у Вас должен быть компьютер под управлением Windows Vista. С требованиями, предъявляемыми ОС Windows Vista к аппаратному обеспечению, Вы можете ознакомиться на веб-узле Windows Vista. Кроме того, в процессе выполнения сценариев этого руководства Вам придется использовать две учетных записи пользователя: учетную запись администратора и учетную запись обычного пользователя. В качестве учетной записи администратора Вы можете использовать учетную запись, которую Вы создали во время установки ОС Windows Vista. Ниже показано, как создать учетную запись обычного пользователя.
Подготовительные действия
|
Создание учетной записи обычного пользователя, не имеющей административных полномочий
|
1. Войдите в систему на компьютере под управлением Windows Vista с учетными данными администратора. |
|
2. Откройте меню Пуск, правой кнопкой мыши щелкните значок Компьютер и в контекстном меню выберите команду Управление. |
|
3. Раскройте узел Локальные пользователи и группы, щелкнув на стрелке рядом с его названием. |
|
4. Правой кнопкой мыши щелкните на названии группы Пользователи и в контекстном меню выберите команду Новый пользователь. |
|
5. Введите имя пользователя, которое Вы будете использовать при выполнении сценариев этого руководства. Например, если Вы хотите назвать пользователя именем «webuser1», Вам нужно ввести webuser1 в текстовое поле Пользователь, а также в поле Полное имя. |
|
6. В текстовых полях Пароль и Подтверждение введите пароль для создаваемой учетной записи и запомните его. Например, если в качестве пароля Вы хотите использовать слово «Password1», Вам нужно ввести Password1 в текстовое поле Пароль, а также в поле Подтверждение.
|
Важно |
|
Регистр содержащихся в пароле символов имеет значение. Для успешного добавления учетной записи пользователя пароль, введенный в текстовом поле Пароль должен совпадать с паролем, введенным в поле Подтверждение. | |
|
7. Снимите флажок Требовать смену пароля при следующем входе в систему. |
|
8. Установите флажки Срок действия пароля не ограничен и Запретить смену пароля пользователем. |
|
9. Нажмите кнопку Создать и затем кнопку Закрыть. В меню Консоль выберите пункт Выход. | |
Проверка текущего состояния пользователя
Прежде чем приступить к выполнению дальнейших сценариев, необходимо проверить текущее состояние пользователя, которого Вы только что создали. В последующих сценариях Вы будете изменять определенные элементы пользовательской среды, поэтому Вы должны понимать, какие изменения будут происходить в операционной системе в процессе выполнения каждого сценария. Это позволит Вам лучше понять, как работает каждый сценарий, и какое воздействие на пользовательскую среду он оказывает. Перед началом выполнения сценариев пользователю доступны все значки и соответствующие контекстные меню, расположенные на рабочем столе и в меню Пуск. По мере выполнения каждого сценария пользователю будет запрещаться доступ к определенным элементам, что будет являться подтверждением того, что настраиваемые Вами политики работают должным образом.
|
Для проверки текущего состояния пользователя выполните следующие действия: |
|
Войдите в систему под учетной записью пользователя, созданной в процессе выполнения процедуры «Создание учетной записи обычного пользователя, не имеющей административных полномочий». Если вход в систему под этой учетной записью выполняется на компьютере впервые, закройте все автоматически запущенные приложения. Запомните значки, которые появились на рабочем столе.
Откройте меню Пуск и запомните отображаемые в нем значки.
Щелкните правой кнопкой мыши на панели задач. Запомните пункты, отображаемые в контекстном меню.
Откройте меню Пуск, меню Все программы, раскройте папку Стандартные и выберите команду Выполнить. Обратите внимание на то, что диалоговое окно Выполнить появляется. Нажмите кнопку Отмена.
Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. Запомните все вкладки в открывшейся панели управления обозревателем (диалоговое окно Свойства: Интернет). В особенности обратите внимание на вкладку Подключения.
Завершите сеанс работы. |
Настройка консоли управления (MMC)
Доступ к объектам MLGPO осуществляется из редактора объектов групповой политики. Для каждого администрируемого объекта локальной групповой политики Вы должны добавить свой редактор объектов ГП в консоль управления (MMC). Если Вы собираетесь администрировать несколько объектов MLGPO, рекомендуется выполнить настройку консоли управления, обеспечивающую удобный и быстрый доступ ко всем объектам локальной групповой политики.
|
Для настройки консоли управления (MMC) выполните следующие действия: |
|
|
1. Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista. Откройте меню Пуск, меню Все программы, раскройте папку Стандартные и выберите команду Выполнить. В открывшемся окне наберите команду mmc.exe и нажмите кнопку OK. |
|
2. В меню Консоль открывшегося окна выберите команду Добавить или удалить оснастку. |
|
3. В списке Доступные оснастки открывшегося диалогового окна Добавление и удаление оснастки выберите оснастку Редактор объектов групповой политики и нажмите кнопку Добавить. |
|
4. В открывшемся диалоговом окне Выбор объекта групповой политики убедитесь, что значением поля Объект групповой политики является Локальный компьютер и нажмите кнопку Готово. |
|
5. Снова выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить. |
|
6. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите группу Не администраторы. Нажмите кнопку OK. Нажмите кнопку Готово.
Рисунок 1 – Выбор группы «Не администраторы» в качестве объекта групповой политики
|
|
7. Еще раз выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить. |
|
8. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите группу Администраторы. Нажмите кнопку OK. Нажмите кнопку Готово. |
|
9. В последний раз выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить. |
|
10. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите учетную запись пользователя с правами администратора, созданную Вами в процессе установки ОС Windows Vista. Например, если Вы назвали пользователя именем Admin, выберите в списке учетную запись Admin. Нажмите кнопку OK. Нажмите кнопку Готово и снова нажмите кнопку OK. |
|
11. В меню Консоль панели управления Консоль1 выберите команду Сохранить, щелкните на значке Рабочий стол, в поле Имя файла введите MLGPO и нажмите кнопку Сохранить.
Рисунок 2 – Внешний вид созданной консоли «MLGPO»
|
Примечание |
|
Теперь Вы можете открывать созданную Вами консоль, дважды щелкнув на значке «MLGPO», расположенному на рабочем столе. | | |
Сценарии использования нескольких объектов локальной групповой политики
Приведенные ниже сценарии покажут Вам, как с помощью объектов MLGPO можно применять параметры групповой политики, распределяя их по различным уровням. В конце каждого сценария описаны действия, позволяющие Вам увидеть результаты применения параметров той или иной политики, а также то, каким образом каждый уровень групповой политики влияет на пользователя, работающего на данном компьютере. Выполнив все сценарии, Вы сможете воспользоваться полученными знаниями и применить все описанные принципы в Вашей собственной рабочей среде.
|
Примечание |
|
Используемые в этом руководстве параметры групповой политики оказывают влияние на визуальные элементы пользовательской рабочей среды. Такие параметры позволят Вам более наглядно проследить изменения, происходящие в результате использования каждого объекта локальной групповой политики. Данные параметры не являются рекомендованными для использования в Интернет-киосках и, вероятно, будут отличаться в различных заведениях данной сферы деятельности. Администраторам следует подробно рассмотреть все параметры групповой политики и решить, какие из них наилучшим образом подходят именно для их организаций. |
Наверх страницы
Сценарий 1. Политика локального компьютера
Политика локального компьютера содержит параметры, применяющиеся в целом ко всему компьютеру, а также стандартные пользовательские параметры, влияющие на всех или на большинство пользователей этого компьютера.
В этом сценарии Вы настроите параметры политики, перечисленные в Приложении А. Параметры политики локального компьютера. Данные параметры влияют на пользовательский интерфейс панели управления обозревателем Internet Explorer и применяются ко всем пользователям компьютера.
|
Настройка параметров политики локального компьютера |
|
|
Примечание |
|
В более ранних версиях Windows политика локального компьютера называлась локальной групповой политикой (политикой локальной группы). | |
|
1. Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista. На рабочем столе дважды щелкните значок «MLGPO», созданный на подготовительном этапе, описанном ранее в этом документе. |
|
2. Выберите объект ГП Политика «Локальный компьютер». Раскройте узел Конфигурация пользователя – Административные шаблоны – Компоненты Windows – Internet Explorer . |
|
3. Выберите группу политик Панель управления обозревателем. Обратите внимание на то, что в области сведений все политики имеют статус «Не задана». |
|
4. Сконфигурируйте политики выбранной группы в соответствии с Приложением А. Параметры политики локального компьютера. По завершении закройте консоль управления, выбрав команду Выход в меню Консоль. Если появится запрос о сохранении параметров консоли, нажмите кнопку Нет. | |
Вы успешно настроили параметры политики локального компьютера. Теперь можно проверить результат применения этого объекта ГП.
Проверка результатов применения политики локального компьютера
В сценарии «Политика локального компьютера» Вы настроили параметры, отключающие определенные вкладки в панели управления обозревателем Internet Explorer. Следующая процедура позволяет увидеть, как отразилось применение этих параметров локальной групповой политики на пользовательском интерфейсе.
|
Проверка результатов применения политики локального компьютера |
|
Выйдите из системы. Войдите в систему под учетной записью пользователя, созданной в процессе выполнения процедуры «Создание учетной записи обычного пользователя, не имеющей административных полномочий».
Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. В результате этих действий появится диалоговое окно панели управления обозревателем со следующим сообщением: «Использование этой возможности было запрещено системным администратором».
Выйдите из системы. Войдите в систему под учетной записью с правами локального администратора. Снова выполните шаг 2. |
Сценарий «Политика локального компьютера» показывает, что в случае применения параметров политики локального компьютера доступ к панели управления обозревателем запрещен как для обычных пользователей, так и для администраторов компьютера.
Наверх страницы
Сценарий 2. Политика «Локальный компьютер\Не администраторы»
Политика Локальный компьютер\Не администраторы содержит пользовательские параметры, применяющиеся ко всем пользователям компьютера, не являющимся членами группы локальных администраторов.
В этом сценарии Вы настроите параметры политики, перечисленные в Приложении Б. Параметры политики «Локальный компьютер\Не администраторы». Данные параметры влияют на работу меню Пуск и панели задач.
|
Настройка параметров политики «Локальный компьютер\Не администраторы» |
|
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Запустите консоль управления «MLGPO» и выберите объект ГП Политика «Локальный компьютер\Не администраторы».
Раскройте узел Конфигурация пользователя – Административные шаблоны и выберите группу политик Меню «Пуск» и панель задач.
Сконфигурируйте политики выбранной группы в соответствии с Приложением Б. Параметры политики «Локальный компьютер\Не администраторы». По завершении закройте консоль управления, выбрав в меню Консоль команду Выход. Если появится запрос о сохранении параметров консоли, нажмите кнопку Нет.
Выйдите из системы. |
Вы успешно настроили параметры политики Локальный компьютер\Не администраторы. Теперь можно проверить результат применения этой политики совместно с настроенной ранее политикой локального компьютера.
Проверка результатов применения политики «Локальный компьютер\Не администраторы»
В сценарии Политика Локальный компьютер\Не администраторы Вы настроили параметры соответствующего объекта MLGPO. Следующая процедура позволяет увидеть, как отразилось применение этих параметров локальной групповой политики на пользовательских интерфейсах обычного пользователя и администратора компьютера. Перед применением политики Локальный компьютер\Не администраторы на рабочем столе и в меню Пуск отображались определенные значки. После применения политики эти значки не отображаются. Кроме того, стали недоступны контекстные меню. Это говорит о том, что политика была создана и применена успешно.
|
Проверка результатов применения политики «Локальный компьютер\Не администраторы» |
|
Войдите в систему под учетной записью обычного пользователя, которую Вы создали ранее. Вы не увидите значков на рабочем столе.
Откройте меню Пуск. В этом меню значки также не отображаются.
Щелкните правой кнопкой мыши на панели задач. Вы увидите, что контекстное меню не появляется.
Откройте меню Пуск, меню Все программы, раскройте папку Стандартные – Вы не обнаружите команду Выполнить. Попробуйте вызвать эту команду, нажав комбинацию клавиш Win+R. Вы увидите следующее сообщение: «Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети».
Выйдите из системы. Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Выполните шаги 3–5. Обратите внимание, что вид меню Пуск и панели задач будет отличаться в зависимости от того, был ли выполнен вход под учетной записью обычного пользователя или под учетной записью администратора.
Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. В результате этих действий появится диалоговое окно панели управления обозревателем со следующим сообщением: «Использование этой возможности было запрещено системным администратором». |
В этом сценарии Вы настроили параметры объекта MLGPO Локальный компьютер\Не администраторы, которые изменяют вид меню Пуск и панели управления. Пользователи, не являющиеся администраторами компьютера, не видят никаких значков на рабочем столе и в меню Пуск. Также они не могут использовать контекстное меню панели управления и команду Выполнить.
Пользователи, являющиеся администраторами компьютера, видят все значки на рабочем столе и в меню Пуск, могут использовать контекстное меню панели управления и команду Выполнить. Несмотря на это, администраторы не могут получить доступ к панели управления обозревателем Internet Explorer. Это ограничение остается в силе для администраторов, поскольку была применена политика локального компьютера, которая оказывает влияние на всех локальных пользователей. Данная политика распространяется и на обычных пользователей, но их доступ к панели управления обозревателем ограничен еще в большей степени, поскольку они не могут получить доступ даже к соответствующему значку.
Наверх страницы
Сценарий 3. Политика «Локальный компьютер\Администраторы»
Политика Локальный компьютер\Администраторы содержит пользовательские параметры, применяющиеся ко всем пользователям компьютера, которые входят в группу локальных администраторов. Используйте эту политику, чтобы применять необходимые параметры только к локальным администраторам. В этом сценарии Вы настроите один параметр политики, добавляющий для администраторов дополнительную команду в меню Пуск.
|
Настройка параметров политики «Локальный компьютер\Администраторы» |
|
Запустите консоль управления «MLGPO» и выберите объект ГП Политика «Локальный компьютер\Администраторы».
Раскройте узел Конфигурация пользователя – Административные шаблоны.
Выберите группу политик Меню «Пуск» и панель задач. Все политики, перечисленные в области сведений, имеют статус «Не задана».
В области задач дважды щелкните на политике Добавить команду «Выполнить» в меню «Пуск».
В открывшемся окне установите переключатель в положение Включен и нажмите кнопку OK. |
Вы успешно настроили параметр политики Локальный компьютер\Администраторы, который применяется ко всем локальным администраторам компьютера. Теперь можно проверить результат применения этого объекта ГП и посмотреть, как он работает совместно с настроенными ранее локальными групповыми политиками.
Проверка результатов применения политики «Локальный компьютер\Администраторы»
Настроенный параметр политики Локальный компьютер\Администраторы добавляет в меню Пуск команду Выполнить, доступную только для администраторов. Следующая процедура позволяет увидеть, как отразилось применение этой локальной групповой политики на пользовательских интерфейсах обычного пользователя и администратора компьютера.
|
Проверка результатов применения политики «Локальный компьютер\Администраторы» |
|
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Откройте меню Пуск. В нижнем правом углу меню Вы увидите команду Выполнить.
Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. В результате этих действий появится диалоговое окно панели управления обозревателем со следующим сообщением: «Использование этой возможности было запрещено системным администратором».
Выйдите из системы. Войдите в систему под учетной записью обычного пользователя.
Повторите шаги 1 и 2. Для обычных пользователей команда Выполнить в меню Пуск не отображается. |
В этом сценарии Вы настроили один параметр объекта MLGPO Локальный компьютер\Администраторы, добавляющий в меню Пуск команду Выполнить, доступную только для администраторов. Этот сценарий показывает Вам, как можно настраивать параметры политики, оказывающие влияние только на локальных администраторов. Однако, даже будучи администратором, Вы не можете получить доступ к панели управления обозревателем Internet Explorer, поскольку была применена политика локального компьютера, которая оказывает влияние на всех локальных пользователей без исключения. Также для всех обычных пользователей действует политика, ограничивающая их доступ к значкам меню Пуск и рабочего стола, а также к контекстному меню панели задач и команде Выполнить. Кроме того, обычный пользователь не смог бы получить доступ к панели управления обозревателем Internet Explorer, даже если бы ее значок был доступен.
Подведем краткий итог. В первом сценарии Вы запретили доступ к панели управления обозревателем с помощью политики Локальный компьютер. Результаты показывают, что эта политика затрагивает как обычных пользователей компьютера, так и локальных администраторов. Далее Вы ограничили доступ к значкам рабочего стола и меню Пуск с помощью политики Локальный компьютер\Не администраторы, в результате чего обычные пользователи перестали видеть эти значки. Однако данные ограничения не затронули администраторов. Это говорит о том, что политика Локальный компьютер\Не администраторы затрагивает только пользователей, не являющихся администраторами компьютера, о чем и говорит ее название. В третьем сценарии Вы добавили в меню Пуск команду Выполнить с помощью политики Локальный компьютер\Администраторы и убедились в том, что данная политика применяется только к локальным администраторам.
Наверх страницы
Сценарий 4. Политика для конкретного пользователя
Политика для конкретного пользователя содержит пользовательские параметры, применяющиеся к определенному пользователю локального компьютера. В этом сценарии Вы настроите параметры локальной политики, перечисленные в Приложении В. Параметры политики для конкретного пользователя. Эти параметры будут применяться к локальному пользователю с правами администратора, учетную запись которого Вы создали в процессе установки ОС Windows Vista.
|
|
Примечание |
|
Вы должны выполнить сценарий «Политика локального компьютера» прежде, чем начнете выполнять данный сценарий. Значения политики данного сценария конфликтуют со значениями политики локального компьютера. В этом сценарии в панель управления обозревателем Internet Explorer добавляются вкладки Дополнительно, Содержание, Общие, Конфиденциальность, Программы и Безопасность, которые были отключены Вами в сценарии «Политика локального компьютера». | |
Настройка параметров политики для конкретного пользователя
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Запустите консоль управления «MLGPO» и выберите объект ГП Политика «Локальный компьютер\Admin». Здесь предполагается, что Admin – это учетная запись с правами администратора, созданная Вами в процессе установки ОС Windows Vista. В Вашем случае имя учетной записи может отличаться от имени, приведенного выше.
Раскройте узел Конфигурация пользователя – Административные шаблоны – Компоненты Windows – Internet Explorer. Выберите группу политик Панель управления обозревателем.
Сконфигурируйте политики выбранной группы в соответствии с Приложением В. Параметры политики для конкретного пользователя. По завершении закройте консоль управления, выбрав команду Выход в меню Консоль. Если появится запрос о сохранении параметров консоли, нажмите кнопку Нет.
Вы успешно настроили параметры локальной политики для пользователя Admin.
Проверка результатов применения политики для пользователя «Admin»
В этом сценарии Вы включили вкладки Дополнительно, Содержание, Общие, Конфиденциальность, Программы и Безопасность в панели управления обозревателем Internet Explorer, которые были отключены в процессе выполнения сценария «Политика локального компьютера»
|
Проверка результатов применения политики для пользователя «Admin» |
|
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. В результате этих действий появится диалоговое окно панели управления обозревателем, содержащее все вкладки, за исключением вкладки Подключения.
Откройте меню Пуск. В нижнем правом углу меню Вы увидите команду Выполнить. |
В сценарии «Политика локального компьютера» Вы запретили локальному администратору открывать панель управления обозревателем, но поскольку Windows применяет политику для конкретного пользователя Admin в последнюю очередь, то значения параметров этой политики имеют наивысший приоритет и перекрывают все предыдущие значения, определенные для этих параметров в других политиках. Это позволяет предоставить доступ к панели управления обозревателем только определенному пользователю. В данном случае им является пользователь Admin. Вкладка Подключения не отображается в панели управления обозревателем для пользователя Admin, поскольку все еще действует политика локального компьютера, настроенная в первом сценарии.
Рассмотренные выше сценарии демонстрируют Вам один из многих способов настройки объектов MLGPO. Вы можете задавать глобальные ограничения с помощью политики локального компьютера, а затем использовать политики для групп администраторов и обычных пользователей, а также политики для конкретных пользователей, снимающие эти ограничения. В качестве альтернативы Вы можете применять объекты MLGPO к отдельным пользователям или группам пользователей, благодаря чему, для каждого пользователя или группы можно настраивать индивидуальные ограничения и параметры пользовательской среды.
Наверх страницы
Удаление объектов локальной групповой политики
Иногда вместо того, чтобы изменять множество настроек объекта локальной групповой политики, Вам может потребоваться удалить его целиком. Для удаления политик, назначенных группе администраторов или обычных пользователей, а также политик, назначенных конкретным пользователям, используйте описанную ниже процедуру. Вы не можете удалить политику локального компьютера. Для того чтобы вернуть политику локального компьютера в исходное состояние, Вы должны установить каждый параметр этой политики в состояние «Не задана».
|
Для удаления объекта локальной групповой политики выполните следующие действия: |
|
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
На рабочем столе дважды щелкните мышью на значке «MLGPO». В меню Консоль открывшегося окна выберите команду Добавить или удалить оснастку.
В списке Доступные оснастки открывшегося диалогового окна Добавление и удаление оснастки выберите оснастку Редактор объектов групповой политики и нажмите кнопку Добавить.
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи, правой кнопкой мыши щелкните на группе Администраторы и в контекстном меню выберите команду Удалить объект групповой политики.
Рисунок 3 – Удаление объекта групповой политики
Нажмите кнопку Да для подтверждения удаления объекта локальной групповой политики. Текст напротив группы Администраторы в столбце Объект групповой политики существует изменится на Нет.
Три раза нажмите кнопу Отмена, чтобы вернуться в консоль «MLGPO».
Закройте консоль управления, выбрав команду Выход в меню Консоль. Если появится запрос о сохранении параметров консоли, нажмите кнопку Нет.
Выйдите из системы. |
Проверка результатов удаления объекта локальной групповой политики
При удалении объекта локальной групповой политики все его параметры принимают значение «Не задана». При этом сбрасываются все настройки, применявшиеся ранее к пользователю.
|
Проверка результатов удаления объекта локальной групповой политики |
|
Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista.
Откройте меню Пуск. В меню больше не отображается команда Выполнить, отображение которой было настроено в сценарии «Политика локального компьютера». |
Наверх страницы
Заключение
Windows Vista предоставляет новую возможность, позволяющую использовать несколько локальных объектов групповой политики (MLGPO), что в свою очередь обеспечивает более гибкое управление объектами групповой политики на локальном компьютере. Технология MLGPO упрощает администрирование окружений, в которых за одним компьютером могут работать несколько различных пользователей – например, Интернет-киоски или библиотеки. Более гибкие возможности управления компьютером в Windows Vista обеспечиваются за счет использования трех различных уровней системных политик: политика локального компьютера, политики группы администраторов и группы обычных пользователей, и политики конкретных пользователей. Такой подход с использованием нескольких объектов локальной групповой политики является идеальным решением для управления отдельными компьютерами, не входящими в доменное окружение.
Наверх страницы
Приложение А. Параметры политики локального компьютера
Вы не должны изменять значения параметров, не перечисленных в данном приложении, поскольку это может повлиять на результаты выполнения сценариев, описанных в этом руководстве.
Размещение |
Политика |
Состояние |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Дополнительно» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Подключение» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Содержание» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Общие» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Конфиденциальность» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Программы» |
Включена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Безопасность» |
Включена |
Наверх страницы
Приложение Б. Параметры политики «Локальный компьютер\Не администраторы»
Вы не должны изменять значения параметров, не перечисленных в данном приложении, поскольку это может повлиять на результаты выполнения сценариев, описанных в этом руководстве.
Размещение |
Политика |
Состояние |
Меню «Пуск» и панель задач |
Удалить папки пользователя из главного меню |
Включена |
Меню «Пуск» и панель задач |
Удаляет ссылки на веб-узел Центра обновления Windows и запрещает доступ к нему |
Включена |
Меню «Пуск» и панель задач |
Скрыть общие группы программ в меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить значок «Документы» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Отключить папки программ в меню «Настройка» |
Включена |
Меню «Пуск» и панель задач |
Удалить «Сетевые подключения» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить меню «Избранное» из главного меню |
Включена |
Меню «Пуск» и панель задач |
Удалить ссылку «Поиск» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить справку из главного меню |
Включена |
Меню «Пуск» и панель задач |
Удалить команду «Выполнить» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить значок «Изображения» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить значок «Музыка» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить значок «Сеть» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удаление команд «Завершение работы», «Перезагрузка», «Сон», «Гибернация» и запрет доступа к ним |
Включена |
Меню «Пуск» и панель задач |
Удалить контекстные меню перетаскивания для элементов меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Запретить изменение параметров панели задач и меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Запретить доступ к контекстному меню для панели задач |
Включена |
Меню «Пуск» и панель задач |
Не хранить сведения о недавно открывавшихся документах |
Включена |
Меню «Пуск» и панель задач |
Очищать журнал недавно открывавшихся документов при выходе |
Включена |
Меню «Пуск» и панель задач |
Отключить сокращенные меню |
Включена |
Меню «Пуск» и панель задач |
Отключить слежение за действиями пользователя |
Включена |
Меню «Пуск» и панель задач |
Удалить всплывающие подсказки для элементов главного меню |
Включена |
Меню «Пуск» и панель задач |
Удалить список программ, закрепленных в меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Удалить кнопку «Отстыковка ПК» из меню «Пуск» |
Включена |
Меню «Пуск» и панель задач |
Не отображать панели инструментов в панели задач |
Включена |
Рабочий стол |
Удалить значок «Мои документы» с рабочего стола |
Включена |
Рабочий стол |
Удалить значок «Компьютер» с рабочего стола |
Включена |
Рабочий стол |
Удалить значок «Корзина» с рабочего стола |
Включена |
Рабочий стол |
Удалить пункт «Свойства» из контекстного меню значка «Документы» |
Включена |
Рабочий стол |
Удалить пункт «Свойства» из контекстного меню значка «Компьютер» |
Включена |
Рабочий стол |
Удалить пункт «Свойства» из контекстного меню компонента «Корзина» |
Включена |
Рабочий стол |
Скрыть значок «Сеть» на рабочем столе |
Включена |
Рабочий стол |
Запретить настройку панелей инструментов рабочего стола |
Включена |
Рабочий стол |
Не сохранять параметры при выходе |
Включена |
Наверх страницы
Приложение В. Параметры политики для конкретного пользователя
Вы не должны изменять значения параметров, не перечисленных в данном приложении, поскольку это может повлиять на результаты выполнения сценариев, описанных в этом руководстве.
Размещение |
Политика |
Состояние |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Подключения» |
Не задана |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Безопасность» |
Отключена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Дополнительно» |
Отключена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Конфиденциальность» |
Отключена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Общие» |
Отключена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Программы» |
Отключена |
Internet Explorer\Панель управления обозревателем |
Отключить вкладку «Содержание» |
Отключена |
Наверх страницы
Обсуждение статьи на форуме