Управление групповой политикой Windows Vista (часть 2)
Windows Vista включает некоторые важные изменения по сравнению с более ранними операционными системами Windows в отношении групповой политики ( GP ). Эта статья знакомит вас с тем, как множественные локальные объекты групповой политики ( MLGPO ) могут сделать любого «автономного» или «киоскового» администратора счастливым.
Добро пожаловать в постоянно расширяющуюся вселенную Microsoft Group Policy.
Несколько объектов локальной групповой политики (MLGPO)
Если вы когда-либо пытались администрировать заблокированные компьютеры-«киоски» в общественных местах, таких как библиотеки или любые другие места, где у вас есть компьютеры с Windows 2000/XP/2003, настроенные для общего пользования, вы, вероятно, сами много боролись с локальными политиками, даже когда вошли в систему. в качестве администратора. Дело в том, что до Windows Vista у нас был только один набор политик на локальном компьютере — общие настройки компьютера и общие настройки пользователя — эти политики применялись ко всем пользователям, которые вошли в систему, несмотря ни на что! Администрирование таких жестко заблокированных компьютеров может быть очень громоздким делом, когда вам иногда приходится отключать некоторые очень ограничительные политики, редактировать все, что необходимо изменить, а затем снова включать политики.
В Windows Vista введена концепция MLGPO — ранее у нас были только объекты локальной групповой политики ( LGPO ). Обычно MLGPO будут использоваться в средах, отличных от Active Directory, где у вас есть автономные компьютеры или компьютеры рабочей группы, и самое замечательное то, что теперь он поддерживает различные конфигурации политик для « Администраторов » и « Неадминистраторов » («пользователи с ограниченными правами») и даже определенные настройки политики для отдельных пользователей! Если данный пользователь не является членом группы «администраторы», то он автоматически считается «неадминистратором», что на самом деле не является группой безопасности.
Когда политика должна быть применена, она проверяет, является ли пользователь членом группы «Администраторы», если это так, загружается «Администратор LGPO», если нет, загружается «Не администраторы LGPO». Вы можете загрузить только одну из двух последних упомянутых политик, но не обе. После этого любая конкретная пользовательская политика обрабатывается и применяется.
Локальный порядок обработки или «порядок подачи заявок» выглядит следующим образом:
а. Конфигурация компьютера LGPO (такая же, как и в старых операционных системах NT)
б. Конфигурация пользователя LGPO (такая же, как и в старых операционных системах NT)- Членство в локальной группе (LPO «Администраторы» или «Неадминистраторы», но не оба вместе)
- Локальные пользователи (индивидуальная/конкретная пользовательская политика)
Разрешение конфликтов между параметрами политики по-прежнему осуществляется по старому доброму правилу « победит последний писатель ». Политика, обработанная последней, перезаписывает любую предыдущую настройку последней прочитанной настройкой — если и только если возникает конфликт или в противном случае настройки объединяются. Этот «трехуровневый» подход очень полезен и намного лучше того, что мы использовали раньше!
Обратите внимание, что все пользователи будут «поражены» настройками, загруженными на шагах 1a и 1b, несмотря ни на что. Однако настройки в политиках, загружаемых впоследствии (шаг 2 или 3), могут сбрасывать, изменять или инвертировать первые загруженные настройки пользователя (шаг 1b).
После загрузки вышеуказанных политик доменные политики имеют приоритет над любой ранее загруженной LGPO, как и сегодня (LOCAL > SITE > DOMAIN > OU level), и «выигрывает последний писатель».
Следует отметить одну небольшую вещь: новый параметр политики: « Параметры компьютераАдминистративные шаблоныСистемаГрупповая политикаОтключить обработку объектов локальной групповой политики» — если вы включите этот параметр политики, система не будет обрабатывать и применять какие-либо локальные объекты групповой политики. Этот параметр будет игнорироваться на автономных компьютерах. Администратор домена может включить эту политику, чтобы исключить применение других политик к пользователям и компьютерам его/ее домена.
Итак, как я могу создать LGPO для определенного пользователя или группы? Что ж, создайте новую консоль управления Microsoft ( MMC ), введя «MMC» в командной строке (или из апплета «Выполнить…», если вы включили это в меню «Пуск») — нажмите «Продолжить» в контроле учетных записей ( UAC ) диалоговое окно. Перейдите в меню «Файл» и выберите «Добавить/удалить оснастку…» (или нажмите Ctrl+M) — вы должны увидеть диалоговое окно, как показано на рисунке 1.
фигура 1
Отметьте оснастку «Редактор объектов групповой политики» ( GPOE ) на левой панели и нажмите «Добавить >». Диалоговое окно, показанное на рис. 2, должно открыться.
фигура 2
Нажмите «Обзор»…
Рисунок 3
Обратите внимание и перейдите на вкладку «Пользователи» (рядом с выбранной по умолчанию вкладкой «Компьютеры»), которая появилась в Windows Vista.
Вы должны увидеть всех локальных пользователей, группу «Администраторы» и «фиктивных» «Не администраторов».
Справа вы можете увидеть, существует ли объект групповой политики для данного пользователя или группы (Да или Нет).
Выберите пользователя или группу, для которой вы хотите установить LGPO, и нажмите «ОК». Нажмите «Готово» в диалоговом окне «Выбор объекта групповой политики» и нажмите «ОК» в диалоговом окне «Добавить или удалить оснастки». Теперь у вас должна быть MMC, где вы можете развернуть LGPO на левой панели и настроить любую конфигурацию пользователя на правой панели.
Не забудьте сохранить консоль при выходе, если она понадобится вам позже. Вам следует рассмотреть возможность создания настраиваемой консоли управления для всех LGPO — вы можете добавить несколько оснасток GPOE в свою настраиваемую MMC, как показано на рисунке 4:
Рисунок 4
Локальный объект групповой политики хранится здесь: %WINDIR%System32GroupPolicy, а LGPO для пользователя/группы хранятся здесь: %WINDIR%System32GroupPolicyUsers (новая папка) — под этой папкой вы увидите любые файлы политики для пользователя или группы — имя папки совпадает с идентификатором безопасности пользователя ( SID), например, «S-1-5-21-795681118-3222455423-2353112456-1005» — см. рисунок 5.
Рисунок 5
Если вы смотрели на функции Windows Vista, вы, вероятно, заметили апплет « Родительский контроль » в Панели управления и, возможно, даже протестировали его функциональность. Что вы можете сделать с помощью этого инструмента, так это в основном заблокировать пользователя до очень ограниченного уровня функциональности — и некоторые из них фактически применяются с помощью LGPO для конкретного пользователя (с помощью политик ограничения программного обеспечения).
Рисунок 6
MLGPO в действии… Объект политики отдельного пользователя фактически создается за кулисами, когда «родитель» создает политику контроля для конкретного пользователя из апплета «Родительский контроль» в Панели управления — рис. 6.
В какой-то момент вам может понадобиться удалить всю LGPO для определенного пользователя или группы (администраторы или неадминистраторы); вот как это сделать:
Начните с создания новой MMC, как мы делали выше, когда вы попадете в диалоговое окно «Обзор объекта групповой политики», щелкните правой кнопкой мыши пользователя или группу, политику которой вы хотите удалить — см. рисунок 7.
Рисунок 7
Выберите « Удалить объект групповой политики », чтобы удалить политику. Обратите внимание, что вы не можете удалить «общую» LGPO (шаги 1a и 1b), все, что вы можете сделать, это сбросить все настройки на значения по умолчанию («Не настроено») или отключить обработку LGPO в доменной среде, как указано выше.
Если функциональность MLGPO покажется вам очень интересной, вам, возможно, придется подумать о том, чтобы внимательно изучить Microsoft Shared Computer Toolkit для Windows XP. Этот набор инструментов помогает упростить настройку, защиту и управление общими компьютерами под управлением Windows XP. Это помогает ограничивать локальные профили пользователей, защищать общие компьютеры от несанкционированных изменений на жестком диске (Защита диска Windows), разрешать определенные обновления (критические, антивирусные и антишпионские обновления и т. д.) и улучшать взаимодействие с пользователем. Версия 2 находится в пути, и, возможно, Windows Vista будет поддерживаться…?
Вывод
В этой части серии статей мы рассмотрели наличие нескольких объектов локальной групповой политики.
В первой части из трех статей мы рассказали о различиях между файлами ADM и ADMX/ADML и о том, что такое центральное хранилище.
В третьей (последней) части этой серии статей «Управление групповой политикой Windows Vista», которая в ближайшем будущем будет опубликована здесь, на WindowSecurity.com, будут рассмотрены основные способы устранения неполадок, улучшенная стабильность и информация о сетевом расположении.
Ссылки по теме
Пошаговое руководство по управлению несколькими объектами локальной групповой политики
Что нового в групповой политике в Windows Vista и Windows Server «Longhorn»
Групповая политика в Windows Vista — веб-трансляция Майка Лоуренса
Что нового в групповой политике в Windows Vista