Управление на местните групови правила в Vista

Настройките за защита и други конфигурационни настройки за компютри, които не са в домейн на Windows Active Directory (AD), като споделени тестови системи, библиотечни павилиони и демонстрационни работни станции, могат да бъдат зададени с помощта на Правилата за локален компютър.

Настройките за защита и други конфигурационни настройки за компютри извън домейна на Windows Active Directory (AD), като споделени тестови системи, библиотечни павилиони и демонстрационни работни станции, могат да бъдат зададени чрез Правила за локален компютър. Един от основните недостатъци на дефинирането на тези настройки в Правилата за локален компютър в Windows преди пускането на Windows Vista е, че само една политика може да се приложи към системи, които не са свързани с домейн, и тази политика се отнася за всички потребители в тази система ... Следователно администраторите, които трябва да влязат в системата и да управляват компютър без ограничения, трябва да преодолеят определени трудности, за да отменят настройките, приложими за обикновените потребители.

В среда на Vista обаче можете да работите с множество локални GPO и това ви позволява да осигурите по-голяма гъвкавост в настройките за сигурност и конфигурация при управление на системи, които не са част от домейна на AD. Нека да разгледаме как Vista се справя с множество локални GPO и как да зададете различни настройки за всеки потребител в локалната система. Имайте предвид, че в контекста на тази статия думата "политика" означава Локална групова политика, а не групова политика на AD, освен ако в текста не е посочено друго.

управление

Множество местни групови политики

В системите на Windows преди Vista е реализиран само един обект на Local Group Policy - Local Computer Policy. Този обект съдържа настройки както за компютъра, така и за потребителите. Обектът Local Policy Policy (известен също като Local Group Policy) съществува в Vista и може да се използва по същия начин, както в Windows XP и Windows 2000. Например в Vista обектът Local Group Policy може да се използва за дефиниране на настройки, което ще важи за всички потребители на тази система.

Но Vista предлага и по-гранулирани инструменти. От една страна, можете да дефинирате локална групова политика, която съдържа както потребителски, така и компютърни настройки, а от друга, можете да дефинирате политики като Правила за локална групова политика и Администраторска локална групова политика; и двете съдържат само потребителски настройки. Можете също така да създадете произволен брой локални групови правила за определени потребители. Тези правила се прилагат за локални потребителски акаунти и съдържат само потребителски настройки. Имайте предвид, че само една политика може да бъде приложена към потребител наведнъж и Vista автоматично изчислява коя политика трябва да се приложи към потребител въз основа на членството в локалната група на потребителя. Например, ако акаунтите не принадлежат към групата на локалните администратори, Vista ще приложи Правилата за неадминистраторска локална група към тези акаунти.

Обработка на местни групови политики

В обобщение, администраторът може да създаде много локални GPO в Vista, така че не би трябвало да е изненадващо, че редът, в който се прилагат местните GPO, има голямо значение. Както при груповите политики на AD, има специфична йерархия на обработка: Първо се прилага локална групова политика. След това идва Администраторска локална групова политика или Администраторска локална групова политика. И не на последно място се прилагат правилата, дефинирани специално за определен потребител. Последната от обработените политики има предимство пред всички останали.

По-долу е описано стъпка по стъпка как да конфигурирате локални GPO и как те се обработват. Преди да започнете да конфигурирате множество локални GPO, трябва да създадете локален потребителски акаунт (с който ще тествате локални GPO). Този запис трябва да е член само на една локална група - групата потребители.

Три местни GPO, добавени към MMC (Local Computer Policy, Local Computer PolicyNon-Administrators, Local Computer PolicyUser) трябва да могат да се редактират.

политики

Сега, нека зададем настройката Hide Desktop Tab във всеки локален GPO (за да стигнете до тази настройка, трябва да щракнете върху User ConfigurationAdministrative TemplatesControl PanelDisplay, както е показано на Фигура 2). В резултат на това ще получим демонстрация за това как се обработват обектите на местните групови политики. Таблицата показва настройките на Скриване на работния плот за всяка локална групова политика.

След като конфигурирате конфигурацията на всяка локална групова политика, отворете прозореца на командния ред и въведете командата

Тази команда осигурява незабавна обработка на локална групова политика. След това трябва да се регистрирате със стандартен потребителски акаунт, за който е създадена локалната групова политика (Local Computer PolicyUser) за съответния потребител, и да отворите контролния панел. Въпреки че този потребител не е член на групата локални администратори, все още можете да видите раздела Работен плот и да промените фона на работния плот, тъй като правилата на Local Computer PolicyUser бяха обработени след всички други правила, което означава, че ако това правило указва да не се използва едно или повече другата настройка, настройката не се прилага, дори когато правилата на Local Computer PolicyNon-Administrators дават инструкции за това.

Сега затворете прозореца на контролния панел и се регистрирайте отново в системата с администраторски акаунт; това е необходимо, за да се промени политиката на Local Computer PolicyUser, така че настройката Hide Desktop Tab да не се прилага. След това изпълняваме командата отново

Сега трябва да влезете отново в системата с потребителски акаунт и да отворите прозореца на контролния панел. Този път, когато се опитате да промените цвета на фона на вашия работен плот, трябва да видите съобщение, указващо, че тази функция е деактивирана, както е показано на фигура 3. В този случай настройката за неадминистраторска локална групова политика, която контролира скриването на работния плот, има предимство, тъй като в свързаната тази настройка не е извършена за конкретен потребител в локалната групова политика. Всички потребители в локалната система, които са членове на групата администратори, ще могат да променят фона на работния плот, но на всички останали потребители ще бъде отказан достъп до настройките на работния плот.

местните

Изтриване на обекти на локална групова политика

Можете да изтриете локални администраторски/неадминистраторски групови политики или специфични за потребителя локални групови политики, но не можете да изтриете действителните локални групови правила. За да премахнете локалните администраторски/неадминистраторски групови правила или специфични за потребителя локални групови правила, щракнете с десния бутон на мишката върху политиката, която искате да премахнете, след това изберете Премахване на обект на групови правила от менюто и щракнете върху Да.

Деактивирайте функцията за обработка на местни групови правила

Ако потребител на домейн има администраторски права за определена система и искате той да прилага само онези правила, които са генерирани въз основа на домейна, това може да стане чрез деактивиране на обработката на локални групови правила. Тази операция може да се извърши, когато машината е свързана към AD домейн. За да направите това, изберете настройката Изключване на обработката на обекти на локални групови правила, която може да бъде зададена чрез последователно избиране на елементите на системната групова политика на конфигурацията на компютъра.

Функцията за обработка на множество локални GPO е полезна в ситуации, когато трябва да дефинирате специфични настройки за защита на данните или конфигурация за всеки потребител на компютъра и когато компютърът не е присъединен към домейн. Редица локални GPO се обработват по същия начин, по който се обработват AD Group Policy, така че принципът на Local Group Policy е прост. Тъй като системата обработва множество локални GPO, конфигурирането на Vista може да стане по-сложно, но това не би трябвало да влияе върху начина, по който се създават базирани на домейн обекти на групови правила (GPO). Възможността за конфигуриране на множество локални GPO дава на администраторите по-ефективен контрол на сигурността и управление на конфигурацията в ситуации, когато управлението на домейн не е възможно или желателно.

По този начин Windows Vista предоставя възможност за конфигуриране и обработка на множество локални GPO.

Windows Vista ви позволява да управлявате множество локални GPO за машини извън домейн на Active Directory.

Тази система позволява конфигуриране на обекти на Локална групова политика, Локална групова политика на администратори, Локална групова политика на неадминистратори, както и обекти на локална групова политика, свързани с конкретни потребители.

Ръсел Смит ([email protected]) - независим ИТ консултант, специализиран в управлението на системи

Споделете материала с колеги и приятели