Организация безопасной, надежной работы компьютеров и пользовательских рабочих станций является важной и ответственной задачей ИТ-администраторов. На сегодняшний день для настройки компьютера можно использовать сотни, если не тысячи, самых разнообразных параметров. Некоторые из этих параметров являются достаточно простыми, а некоторые могут надолго озадачить сотрудников службы поддержки. Для решения сложных задач в доменном окружении администраторы используют групповую политику, но как решать такие задачи на компьютерах, которые не входят в домен? Для этого операционная система Windows Vista предлагает использовать новую функциональную возможность – технологию нескольких объектов локальной групповой политики (Multiple Local Group Policy objects, MLGPO). Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение. В качестве примера можно привести компьютерную среду в библиотеке или Интернет-киоск. В этом руководстве содержится ряд пошаговых сценариев, демонстрирующих то, каким образом можно настроить объекты MLGPO на изолированном компьютере под управлением ОС Windows Vista. После успешного выполнения этих сценариев Вы поймете и оцените всю мощь и гибкость объектов MLGPO и узнаете, как можно применять их в Вашей рабочей среде.
Локальная групповая политика является частью более широкой технологии – групповой политики. Групповая политика используется в доменном окружении, в то время как локальная групповая политика применяется локально на отдельном компьютере. Обе этих технологии позволяют администраторам настраивать определенные параметры операционной системы и затем в принудительном порядке применять их к пользователям и компьютерам. Однако локальная групповая политика не обладает такой гибкостью, как групповая политика, использующаяся в доменном окружении. Например, используя доменную групповую политику, администраторы могут настраивать любое количество различных политик, затрагивающих как отдельных, так и всех пользователей компьютера, входящего в домен, либо не затрагивающих никого вообще. Более того, такие политики могут применяться к пользователям на основании их принадлежности к определенной доменной группе. Однако локальная групповая политика позволяет настроить только одну политику, применяющуюся к отдельному компьютеру и ко всем пользователям этого компьютера, включая локального администратора. Данное обстоятельство усложняет администрирование изолированного компьютера, поскольку одна и та же политика применяется как к обычным пользователям, так и к администратору. В состав ОС Windows Vista включена технология нескольких объектов локальной групповой политики (MLGPO), являющаяся улучшением предыдущей версии локальной групповой политики. Технология MLGPO позволяет администраторам локальных компьютеров применять различные объекты групповой политики (ГП) к пользователям этих компьютеров. Windows Vista позволяет использовать три уровня объектов локальной групповой политики: политику локального компьютера, политику групп администраторов/не администраторов и политику конкретного пользователя. Порядок применения этих объектов групповой политики следующий: сначала применяется политика локального компьютера, затем политика группы администраторов либо не администраторов, в последнюю очередь применяется политика конкретного пользователя.
Уровень, на котором находится политика Локальный компьютер, является верхним уровнем списка объектов MLGPO. Политика Локальный компьютер является единственным объектом ГП, позволяющим настраивать параметры компьютера. Хотя данная политика позволяет также настраивать пользовательские параметры, учтите, что эти параметры будут применяться ко всем пользователям данного компьютера, включая локального администратора. Политика Локальный компьютер работает точно так же, как и в ОС Windows XP.
Каждый компьютер под управлением Windows Vista содержит список встроенных групп и пользователей, которые создаются при установке или обновлении ОС до Windows Vista. Одной из этих групп является группа Администраторы. По умолчанию в этой встроенной группе содержится только учетная запись администратора компьютера – Администратор. belstaff online shop usa С точки зрения ОС Windows все пользователи, чьи учетные записи входят в группу Администраторы, являются администраторами компьютера и наоборот – если учетная запись пользователя не входит в данную группу, он считается обычным пользователем, не являющимся администратором. Вместе объекты ГП Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы представляют собой один уровень и при входе всех локальных пользователей в систему логически разделяют их на две группы. Таким образом, пользователь либо является администратором, либо не является им. В первом случае пользователю назначаются все параметры, определенные в объекте ГП Локальный компьютер\Администраторы. Во втором случае пользователю назначаются параметры, определенные в объекте ГП Локальный компьютер\Не администраторы. Объекты Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы являются новыми объектами ГП, которых не было до появления ОС Windows Vista. Политика «Локальный компьютер\<Учетная запись пользователя>» Администратор компьютера может создавать новые локальные учетные записи пользователей. Эти учетные записи хранятся на компьютере вместе со списком встроенных групп и пользователей. Для того чтобы назначить определенные параметры конкретному пользователю, администратор может использовать последний уровень списка объектов MLGPO – Локальный компьютер\<Учетная запись пользователя> Порядок применения политик Преимущества технологии MLGPO достигаются за счет последовательного применения трех отдельных уровней политик. Первым применяется объект ГП Локальный компьютер, который может содержать как параметры компьютера, так и параметры пользователя. При этом последние применяются ко всем пользователям компьютера, включая локальных администраторов. На следующем этапе применяются объекты ГП второго уровня – Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы. Пользователь получает параметры одного из этих объектов ГП в зависимости от того, входит его учетная запись в локальную группу Администраторы или нет. Ни один из этих двух объектов не содержит параметров конфигурации компьютера. В последнюю очередь применяется объект ГП, назначенный конкретному пользователю. Этот объект третьего уровня содержит параметры, применяющиеся только к конкретному пользователю локального компьютера, указанному администратором. Обобщая, можно сказать, что сначала применяется политика локального компьютера, затем политика группы администраторов либо обычных пользователей, и в завершении – политика конкретного пользователя. Разрешение конфликтов при применении нескольких объектов ГП Все объекты локальной групповой политики имеют одинаковый набор пользовательских параметров. Возможны случаи, когда одни и те же параметры имеют различные значения в разных объектах ГП. Для разрешения этих конфликтов в Windows Vista используется метод, при котором предыдущее значение параметра перезаписывается значением параметра того объекта ГП, который был применен позже. Таким образом, результирующее значение параметра определяется значением параметра объекта ГП, который был применен в последнюю очередь. Допустим, администратор включает какой-либо параметр в политике локального компьютера, но отключает этот же параметр в политике конкретного пользователя. Когда пользователь, не являющийся администратором, входит в систему, Windows применяет политику локального компьютера, затем политику группы обычных пользователей, и затем политику для этого конкретного пользователя. После применения политики локального компьютера параметр имеет значение «Включено». В политике группы обычных пользователей этот параметр не настраивался, поэтому данная политика не затрагивает его, и он остается включенным. В политике пользователя этот параметр отключен, поэтому после ее применения он имеет значение «Отключено». Поскольку Windows применяет политику пользователя в последнюю очередь, данная политика имеет наивысший приоритет, а приоритет политики локального компьютера является самым низким. Результирующим значением параметра будет «Отключено». Компьютеры, входящие в состав домена Использование объектов MLGPO наиболее эффективно при локальном управлении компьютерами. На компьютерах, входящих в состав домена, применяется сначала локальная групповая политика, а затем групповая политика домена. При этом Windows Vista продолжает использовать механизм, при котором политика, применившаяся в последнюю очередь, имеет наивысший приоритет. Следовательно, при возникновении конфликтов результирующими значениями параметров будут являться значения, определенные в групповой политике домена. Они заменят значения, определенные в любом объекте локальной групповой политики, включая административные, неадминистративные и пользовательские политики. Администратор домена может отключить применение объектов локальной групповой политики на клиентских компьютерах, включив параметр Выключение обработки локальных объектов групповой политики в разделе Конфигурация компьютера – Административные Шаблоны – Система – Групповая Политика объекта групповой политики домена.
Для успешного выполнения сценариев, представленных в этом руководстве, у Вас должен быть компьютер под управлением Windows Vista. С требованиями, предъявляемыми ОС Windows Vista к аппаратному обеспечению, Вы можете ознакомиться на . Кроме того, в процессе выполнения сценариев этого руководства Вам придется использовать две учетных записи пользователя: учетную запись администратора и учетную запись обычного пользователя. В качестве учетной записи администратора Вы можете использовать учетную запись, которую Вы создали во время установки ОС Windows Vista. Ниже показано, как создать учетную запись обычного пользователя.
Создание учетной записи обычного пользователя, не имеющей административных полномочий
|
Прежде чем приступить к выполнению дальнейших сценариев, необходимо проверить текущее состояние пользователя, которого Вы только что создали. В последующих сценариях Вы будете изменять определенные элементы пользовательской среды, поэтому Вы должны понимать, какие изменения будут происходить в операционной системе в процессе выполнения каждого сценария. Это позволит Вам лучше понять, как работает каждый сценарий, и какое воздействие на пользовательскую среду он оказывает. Перед началом выполнения сценариев пользователю доступны все значки и соответствующие контекстные меню, расположенные на рабочем столе и в меню Пуск. По мере выполнения каждого сценария пользователю будет запрещаться доступ к определенным элементам, что будет являться подтверждением того, что настраиваемые Вами политики работают должным образом.
| Для проверки текущего состояния пользователя выполните следующие действия: | |
|
Доступ к объектам MLGPO осуществляется из редактора объектов групповой политики. Для каждого администрируемого объекта локальной групповой политики Вы должны добавить свой редактор объектов ГП в консоль управления (MMC). Если Вы собираетесь администрировать несколько объектов MLGPO, рекомендуется выполнить настройку консоли управления, обеспечивающую удобный и быстрый доступ ко всем объектам локальной групповой политики.
| Для настройки консоли управления (MMC) выполните следующие действия: | |||||||||||||||||||||||||||
|
Приведенные ниже сценарии покажут Вам, как с помощью объектов MLGPO можно применять параметры групповой политики, распределяя их по различным уровням. В конце каждого сценария описаны действия, позволяющие Вам увидеть результаты применения параметров той или иной политики, а также то, каким образом каждый уровень групповой политики влияет на пользователя, работающего на данном компьютере. Выполнив все сценарии, Вы сможете воспользоваться полученными знаниями и применить все описанные принципы в Вашей собственной рабочей среде.
| Примечание | |
| Используемые в этом руководстве параметры групповой политики оказывают влияние на визуальные элементы пользовательской рабочей среды. Такие параметры позволят Вам более наглядно проследить изменения, происходящие в результате использования каждого объекта локальной групповой политики. Данные параметры не являются рекомендованными для использования в Интернет-киосках и, вероятно, будут отличаться в различных заведениях данной сферы деятельности. Администраторам следует подробно рассмотреть все параметры групповой политики и решить, какие из них наилучшим образом подходят именно для их организаций. |
Сценарий 1. Политика локального компьютера Политика локального компьютера содержит параметры, применяющиеся в целом ко всему компьютеру, а также стандартные пользовательские параметры, влияющие на всех или на большинство пользователей этого компьютера. В этом сценарии Вы настроите параметры политики, перечисленные в Приложении А. Параметры политики локального компьютера. Данные параметры влияют на пользовательский интерфейс панели управления обозревателем Internet Explorer и применяются ко всем пользователям компьютера.
| Настройка параметров политики локального компьютера | |||||||||||||||
|
|||||||||||||||
Вы успешно настроили параметры политики локального компьютера. Теперь можно проверить результат применения этого объекта ГП.
В сценарии «Политика локального компьютера» Вы настроили параметры, отключающие определенные вкладки в панели управления обозревателем Internet Explorer. Следующая процедура позволяет увидеть, как отразилось применение этих параметров локальной групповой политики на пользовательском интерфейсе.
| Проверка результатов применения политики локального компьютера | |
|
Сценарий «Политика локального компьютера» показывает, что в случае применения параметров политики локального компьютера доступ к панели управления обозревателем запрещен как для обычных пользователей, так и для администраторов компьютера.
Политика Локальный компьютер\Не администраторы содержит пользовательские параметры, применяющиеся ко всем пользователям компьютера, не являющимся членами группы локальных администраторов. В этом сценарии Вы настроите параметры политики, перечисленные в Приложении Б. Параметры политики «Локальный компьютер\Не администраторы». Данные параметры влияют на работу меню Пуск и панели задач.
Tags: Windows Vista, Windows XP
