Как действует многоуровневая локальная групповая политика

Как действует многоуровневая локальная групповая политика

Локальная групповая политика в Windows XP позволяет изменять сотни системных и пользовательских параметров настройки, чтобы ограничить или наоборот расширить доступ к различным элементам системы, в зависимости от того, какую степень свободы вы готовы предоставить пользователям компьютера. Однако эти настройки действуют для всех пользователей - даже для администраторов.

Чтобы управлять настройками для отдельных пользователей в рамках одной системы, в Windows 7 применяется многоуровневая локальная групповая политика, состоящая из трех уровней:

• первый уровень - стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки (политики), которые будут действовать для всех пользователей, включая администратора;
• второй уровень - локальная групповая политика для администраторов и не-администраторов, которая позволяет управлять настройками для этих двух групп пользователей раздельно;
• третий уровень - групповая политика для отдельных пользователей, позволяющая устанавливать определенные настройки только для конкретных учетных записей.

Нетрудно догадаться, что перечисленные политики обрабатываются последовательно в зависимости от уровня. Сначала применяется локальная групповая политика, затем политика для администраторов/не-администраторов, и наконец, политика для конкретных пользователей. При конфликтующих настройках предпочтение отдается той политике, которая обрабатывается последней.

К примеру, если локальная групповая политика, которая применяется первой, отключает определенные настройки, а политика для конкретного пользователя их наоборот активирует, эти настройки остаются включенными, поскольку Windows 7 обрабатывает пользовательскую политику последней. Если существует несколько пользовательских политик, и лишь одна из них активирует определенные настройки, эти настройки будут отключены для тех учетных записей, для которых действует только локальная групповая политика.

Пример

Теперь, когда вы представляете, как работает многоуровневая локальная групповая политика, давайте рассмотрим ее применение на примере. Предположим, у нас есть два пользователя одного компьютера, Дик и Джейн. Нам нужно сделать так, чтобы Панель управления открывалась для них в виде списка значков, а не по категориям. Кроме того, мы хотим ограничить возможности Дика по редактированию меню "Пуск" и панели задач, оставив при этом Джейн полную свободу действий в данном отношении.

Создание консоли управления

Для начала создадим новую консоль управления (Microsoft Management Console, MMC), в которую будем добавлять объекты групповой политики. Откройте меню "Пуск" (Start), введите в строке поиска "mmc" (без кавычек), нажмите [Enter] и подтвердите выполнение операции в окне контроля учетных записей (UAC).

В появившемся окне  откройте меню "Файл" (File) и выберите опцию "Добавить или удалить оснастку" (Add/Remove Snap-in). В диалоговом окне "Добавление и удаление оснасток" (Add/Remove Snap-ins) найдите и выделите "Редактор объектов групповой политики" (Group Policy Object Editor), а затем нажмите кнопку "Добавить" (Add).

Теперь повторите описанные действия, чтобы с помощью диалоговом окна "Поиск объекта групповой политики" добавить политики сначала для Дика, потом для Джейн. Это будут политики третьего уровня.

Наконец нажмите "OK", чтобы закрыть диалоговое окно "Добавление и удаление оснасток". Сохраните ее с каким-нибудь подходящим именем, например "Multi-Local-GPO.msc".

Из единой консоли удобно управлять и настраивать политики

 

Настройка политик

Поскольку мы хотим изменить настройки только для Дика и Джейн, начинать нужно с конфигурации политики для не-администраторов, а не с локальной политики, которая действует для всех пользователей. Чтобы изменить формат представления Панели управления по умолчанию, разверните раздел "Политика "Локальный компьютер / Не администраторы / Административные шаблоны / Панель управления"" (Local Computer / Non-Administrators Policy / User Configuration / Administrative Templates / Control Panel) и выделите политику "Всегда открывать все элементы панели управления при ее открытии" (Always Open All Control Panel Items When Opening the Control Panel). Дважды щелкните на ней, выберите опцию "Включить" (Enabled) и нажмите "OK".

Политики для рядовых пользователей настраиваются в разделе "Не администраторы"

Чтобы ограничить Дику доступ к настройкам меню "Пуск" и панели задач, разверните раздел "Политика "Локальный компьютер / Дик / Административные шаблоны / Панель управления / Меню "Пуск" и панель задач"" (Local Computer / Dick Policy / User Configuration / Administrative Templates / Start Menu and Taskbar) и включите или отключите нужные политики для опций, которые должны быть недоступны Дику. Чтобы оставить Джейн неограниченный доступ к настройкам меню "Пуск" и панели задач, сохраните параметры по умолчанию.