Пошаговое руководство по использованию технологии нескольких объектов локальной групповой политики

Published on Март 13, 2009 by   ·   Комментариев нет

Введение

Организация безопасной, надежной работы компьютеров и пользовательских рабочих станций является важной и ответственной задачей ИТ-администраторов. На сегодняшний день для настройки компьютера можно использовать сотни, если не тысячи, самых разнообразных параметров. Некоторые из этих параметров являются достаточно простыми, а некоторые могут надолго озадачить сотрудников службы поддержки. Для решения сложных задач в доменном окружении администраторы используют групповую политику, но как решать такие задачи на компьютерах, которые не входят в домен? Для этого операционная система Windows Vista предлагает использовать новую функциональную возможность – технологию нескольких объектов локальной групповой политики (Multiple Local Group Policy objects, MLGPO). Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение. В качестве примера можно привести компьютерную среду в библиотеке или Интернет-киоск. В этом руководстве содержится ряд пошаговых сценариев, демонстрирующих то, каким образом можно настроить объекты MLGPO на изолированном компьютере под управлением ОС Windows Vista. После успешного выполнения этих сценариев Вы поймете и оцените всю мощь и гибкость объектов MLGPO и узнаете, как можно применять их в Вашей рабочей среде.

Обзор технологии

Локальная групповая политика является частью более широкой технологии – групповой политики. Групповая политика используется в доменном окружении, в то время как локальная групповая политика применяется локально на отдельном компьютере. Обе этих технологии позволяют администраторам настраивать определенные параметры операционной системы и затем в принудительном порядке применять их к пользователям и компьютерам. Однако локальная групповая политика не обладает такой гибкостью, как групповая политика, использующаяся в доменном окружении. Например, используя доменную групповую политику, администраторы могут настраивать любое количество различных политик, затрагивающих как отдельных, так и всех пользователей компьютера, входящего в домен, либо не затрагивающих никого вообще. Более того, такие политики могут применяться к пользователям на основании их принадлежности к определенной доменной группе. Однако локальная групповая политика позволяет настроить только одну политику, применяющуюся к отдельному компьютеру и ко всем пользователям этого компьютера, включая локального администратора. Данное обстоятельство усложняет администрирование изолированного компьютера, поскольку одна и та же политика применяется как к обычным пользователям, так и к администратору. В состав ОС Windows Vista включена технология нескольких объектов локальной групповой политики (MLGPO), являющаяся улучшением предыдущей версии локальной групповой политики. Технология MLGPO позволяет администраторам локальных компьютеров применять различные объекты групповой политики (ГП) к пользователям этих компьютеров. Windows Vista позволяет использовать три уровня объектов локальной групповой политики: политику локального компьютера, политику групп администраторов/не администраторов и политику конкретного пользователя. Порядок применения этих объектов групповой политики следующий: сначала применяется политика локального компьютера, затем политика группы администраторов либо не администраторов, в последнюю очередь применяется политика конкретного пользователя.

Политика «Локальный компьютер»

Уровень, на котором находится политика Локальный компьютер, является верхним уровнем списка объектов MLGPO. Политика Локальный компьютер является единственным объектом ГП, позволяющим настраивать параметры компьютера. Хотя данная политика позволяет также настраивать пользовательские параметры, учтите, что эти параметры будут применяться ко всем пользователям данного компьютера, включая локального администратора. Политика Локальный компьютер работает точно так же, как и в ОС Windows XP.

Политики «Локальный компьютер\Администраторы» и «Локальный компьютер\Не администраторы»

Каждый компьютер под управлением Windows Vista содержит список встроенных групп и пользователей, которые создаются при установке или обновлении ОС до Windows Vista. Одной из этих групп является группа Администраторы. По умолчанию в этой встроенной группе содержится только учетная запись администратора компьютера – Администратор. belstaff online shop usa С точки зрения ОС Windows все пользователи, чьи учетные записи входят в группу Администраторы, являются администраторами компьютера и наоборот – если учетная запись пользователя не входит в данную группу, он считается обычным пользователем, не являющимся администратором. Вместе объекты ГП Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы представляют собой один уровень и при входе всех локальных пользователей в систему логически разделяют их на две группы. Таким образом, пользователь либо является администратором, либо не является им. В первом случае пользователю назначаются все параметры, определенные в объекте ГП Локальный компьютер\Администраторы. Во втором случае пользователю назначаются параметры, определенные в объекте ГП Локальный компьютер\Не администраторы. Объекты Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы являются новыми объектами ГП, которых не было до появления ОС Windows Vista. Политика «Локальный компьютер\<Учетная запись пользователя>» Администратор компьютера может создавать новые локальные учетные записи пользователей. Эти учетные записи хранятся на компьютере вместе со списком встроенных групп и пользователей. Для того чтобы назначить определенные параметры конкретному пользователю, администратор может использовать последний уровень списка объектов MLGPO – Локальный компьютер\<Учетная запись пользователя> Порядок применения политик Преимущества технологии MLGPO достигаются за счет последовательного применения трех отдельных уровней политик. Первым применяется объект ГП Локальный компьютер, который может содержать как параметры компьютера, так и параметры пользователя. При этом последние применяются ко всем пользователям компьютера, включая локальных администраторов. На следующем этапе применяются объекты ГП второго уровня – Локальный компьютер\Администраторы и Локальный компьютер\Не администраторы. Пользователь получает параметры одного из этих объектов ГП в зависимости от того, входит его учетная запись в локальную группу Администраторы или нет. Ни один из этих двух объектов не содержит параметров конфигурации компьютера. В последнюю очередь применяется объект ГП, назначенный конкретному пользователю. Этот объект третьего уровня содержит параметры, применяющиеся только к конкретному пользователю локального компьютера, указанному администратором. Обобщая, можно сказать, что сначала применяется политика локального компьютера, затем политика группы администраторов либо обычных пользователей, и в завершении – политика конкретного пользователя. Разрешение конфликтов при применении нескольких объектов ГП Все объекты локальной групповой политики имеют одинаковый набор пользовательских параметров. Возможны случаи, когда одни и те же параметры имеют различные значения в разных объектах ГП. Для разрешения этих конфликтов в Windows Vista используется метод, при котором предыдущее значение параметра перезаписывается значением параметра того объекта ГП, который был применен позже. Таким образом, результирующее значение параметра определяется значением параметра объекта ГП, который был применен в последнюю очередь. Допустим, администратор включает какой-либо параметр в политике локального компьютера, но отключает этот же параметр в политике конкретного пользователя. Когда пользователь, не являющийся администратором, входит в систему, Windows применяет политику локального компьютера, затем политику группы обычных пользователей, и затем политику для этого конкретного пользователя. После применения политики локального компьютера параметр имеет значение «Включено». В политике группы обычных пользователей этот параметр не настраивался, поэтому данная политика не затрагивает его, и он остается включенным. В политике пользователя этот параметр отключен, поэтому после ее применения он имеет значение «Отключено». Поскольку Windows применяет политику пользователя в последнюю очередь, данная политика имеет наивысший приоритет, а приоритет политики локального компьютера является самым низким. Результирующим значением параметра будет «Отключено». Компьютеры, входящие в состав домена Использование объектов MLGPO наиболее эффективно при локальном управлении компьютерами. На компьютерах, входящих в состав домена, применяется сначала локальная групповая политика, а затем групповая политика домена. При этом Windows Vista продолжает использовать механизм, при котором политика, применившаяся в последнюю очередь, имеет наивысший приоритет. Следовательно, при возникновении конфликтов результирующими значениями параметров будут являться значения, определенные в групповой политике домена. Они заменят значения, определенные в любом объекте локальной групповой политики, включая административные, неадминистративные и пользовательские политики. Администратор домена может отключить применение объектов локальной групповой политики на клиентских компьютерах, включив параметр Выключение обработки локальных объектов групповой политики в разделе Конфигурация компьютера – Административные Шаблоны – Система – Групповая Политика объекта групповой политики домена.

Требования для успешного выполнения сценариев этого руководства

Для успешного выполнения сценариев, представленных в этом руководстве, у Вас должен быть компьютер под управлением Windows Vista. С требованиями, предъявляемыми ОС Windows Vista к аппаратному обеспечению, Вы можете ознакомиться на . Кроме того, в процессе выполнения сценариев этого руководства Вам придется использовать две учетных записи пользователя: учетную запись администратора и учетную запись обычного пользователя. В качестве учетной записи администратора Вы можете использовать учетную запись, которую Вы создали во время установки ОС Windows Vista. Ниже показано, как создать учетную запись обычного пользователя.

Подготовительные действия

Создание учетной записи обычного пользователя, не имеющей административных полномочий
1. Войдите в систему на компьютере под управлением Windows Vista с учетными данными администратора.
  • 2. Откройте меню Пуск, правой кнопкой мыши щелкните значок Компьютер и в контекстном меню выберите команду Управление.
  • 3. Раскройте узел Локальные пользователи и группы, щелкнув на стрелке рядом с его названием.
  • 4. Правой кнопкой мыши щелкните на названии группы Пользователи и в контекстном меню выберите команду Новый пользователь.
  • 5. Введите имя пользователя, которое Вы будете использовать при выполнении сценариев этого руководства. Например, если Вы хотите назвать пользователя именем «webuser1», Вам нужно ввести webuser1 в текстовое поле Пользователь, а также в поле Полное имя.
  • 6. В текстовых полях Пароль и Подтверждение введите пароль для создаваемой учетной записи и запомните его. Например, если в качестве пароля Вы хотите использовать слово «Password1», Вам нужно ввести Password1 в текстовое поле Пароль, а также в поле Подтверждение.
    Важно
    Регистр содержащихся в пароле символов имеет значение. Для успешного добавления учетной записи пользователя пароль, введенный в текстовом поле Пароль должен совпадать с паролем, введенным в поле Подтверждение.
  • 7. Снимите флажок Требовать смену пароля при следующем входе в систему.
  • 8. Установите флажки Срок действия пароля не ограничен и Запретить смену пароля пользователем.
  • 9. Нажмите кнопку Создать и затем кнопку Закрыть. В меню Консоль выберите пункт Выход.

    Проверка текущего состояния пользователя

    Прежде чем приступить к выполнению дальнейших сценариев, необходимо проверить текущее состояние пользователя, которого Вы только что создали. В последующих сценариях Вы будете изменять определенные элементы пользовательской среды, поэтому Вы должны понимать, какие изменения будут происходить в операционной системе в процессе выполнения каждого сценария. Это позволит Вам лучше понять, как работает каждый сценарий, и какое воздействие на пользовательскую среду он оказывает. Перед началом выполнения сценариев пользователю доступны все значки и соответствующие контекстные меню, расположенные на рабочем столе и в меню Пуск. По мере выполнения каждого сценария пользователю будет запрещаться доступ к определенным элементам, что будет являться подтверждением того, что настраиваемые Вами политики работают должным образом.

    Для проверки текущего состояния пользователя выполните следующие действия:
    1. Войдите в систему под учетной записью пользователя, созданной в процессе выполнения процедуры «Создание учетной записи обычного пользователя, не имеющей административных полномочий». Если вход в систему под этой учетной записью выполняется на компьютере впервые, закройте все автоматически запущенные приложения. Запомните значки, которые появились на рабочем столе.
    2. Откройте меню Пуск и запомните отображаемые в нем значки.
    3. Щелкните правой кнопкой мыши на панели задач. Запомните пункты, отображаемые в контекстном меню.
    4. Откройте меню Пуск, меню Все программы, раскройте папку Стандартные и выберите команду Выполнить. Обратите внимание на то, что диалоговое окно Выполнить появляется. Нажмите кнопку Отмена.
    5. Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. Запомните все вкладки в открывшейся панели управления обозревателем (диалоговое окно Свойства: Интернет). В особенности обратите внимание на вкладку Подключения.
    6. Завершите сеанс работы.

    Настройка консоли управления (MMC)

    Доступ к объектам MLGPO осуществляется из редактора объектов групповой политики. Для каждого администрируемого объекта локальной групповой политики Вы должны добавить свой редактор объектов ГП в консоль управления (MMC). Если Вы собираетесь администрировать несколько объектов MLGPO, рекомендуется выполнить настройку консоли управления, обеспечивающую удобный и быстрый доступ ко всем объектам локальной групповой политики.

    Для настройки консоли управления (MMC) выполните следующие действия:
    1. scarpe adidas Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista. Откройте меню Пуск, меню Все программы, раскройте папку Стандартные и выберите команду Выполнить. В открывшемся окне наберите команду mmc.exe и нажмите кнопку OK.
  • 2. В меню Консоль открывшегося окна выберите команду Добавить или удалить оснастку.
  • 3. В списке Доступные оснастки открывшегося диалогового окна Добавление и удаление оснастки выберите оснастку Редактор объектов групповой политики и нажмите кнопку Добавить.
  • 4. В открывшемся диалоговом окне Выбор объекта групповой политики убедитесь, что значением поля Объект групповой политики является Локальный компьютер и нажмите кнопку Готово.
  • 5. Снова выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить.
  • 6. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите группу Не администраторы. Нажмите кнопку OK. Нажмите кнопку Готово.

    Ïîëüçîâàòåëüñêèå ïîëèòèêè

    Рисунок 1 – Выбор группы «Не администраторы» в качестве объекта групповой политики

  • 7. Еще раз выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить.
  • 8. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите группу Администраторы. Нажмите кнопку OK. Нажмите кнопку Готово.
  • 9. В последний раз выберите оснастку Редактор объектов групповой политики в списке Доступные оснастки и нажмите кнопку Добавить.
  • 10. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Перейдите на вкладку Пользователи и выберите учетную запись пользователя с правами администратора, созданную Вами в процессе установки ОС Windows Vista. Например, если Вы назвали пользователя именем Admin, выберите в списке учетную запись Admin. Нажмите кнопку OK. Нажмите кнопку Готово и снова нажмите кнопку OK.
  • 11. В меню Консоль панели управления Консоль1 выберите команду Сохранить, щелкните на значке Рабочий стол, в поле Имя файла введите MLGPO и нажмите кнопку Сохранить.
    Примечание
    Теперь Вы можете открывать созданную Вами консоль, дважды щелкнув на значке «MLGPO», расположенному на рабочем столе.

    Сценарии использования нескольких объектов локальной групповой политики

    Приведенные ниже сценарии покажут Вам, как с помощью объектов MLGPO можно применять параметры групповой политики, распределяя их по различным уровням. В конце каждого сценария описаны действия, позволяющие Вам увидеть результаты применения параметров той или иной политики, а также то, каким образом каждый уровень групповой политики влияет на пользователя, работающего на данном компьютере. Выполнив все сценарии, Вы сможете воспользоваться полученными знаниями и применить все описанные принципы в Вашей собственной рабочей среде.

    Примечание
    Используемые в этом руководстве параметры групповой политики оказывают влияние на визуальные элементы пользовательской рабочей среды. Такие параметры позволят Вам более наглядно проследить изменения, происходящие в результате использования каждого объекта локальной групповой политики. Данные параметры не являются рекомендованными для использования в Интернет-киосках и, вероятно, будут отличаться в различных заведениях данной сферы деятельности. Администраторам следует подробно рассмотреть все параметры групповой политики и решить, какие из них наилучшим образом подходят именно для их организаций.

    Сценарий 1. Политика локального компьютера Политика локального компьютера содержит параметры, применяющиеся в целом ко всему компьютеру, а также стандартные пользовательские параметры, влияющие на всех или на большинство пользователей этого компьютера. В этом сценарии Вы настроите параметры политики, перечисленные в Приложении А. Параметры политики локального компьютера. Данные параметры влияют на пользовательский интерфейс панели управления обозревателем Internet Explorer и применяются ко всем пользователям компьютера.

    Настройка параметров политики локального компьютера
    Примечание
    В более ранних версиях Windows политика локального компьютера называлась локальной групповой политикой (политикой локальной группы).
    1. Войдите в систему под учетной записью с правами администратора, созданной Вами в процессе установки ОС Windows Vista. На рабочем столе дважды щелкните значок «MLGPO», созданный на подготовительном этапе, описанном ранее в этом документе.
  • 2. Womens Belstaff Blouson Выберите объект ГП Политика «Локальный компьютер». Раскройте узел Конфигурация пользователя – Административные шаблоны – Компоненты Windows – Internet Explorer .
  • 3. Выберите группу политик Панель управления обозревателем. Обратите внимание на то, что в области сведений все политики имеют статус «Не задана».
  • 4. Сконфигурируйте политики выбранной группы в соответствии с Приложением А. Параметры политики локального компьютера. По завершении закройте консоль управления, выбрав команду Выход в меню Консоль. Если появится запрос о сохранении параметров консоли, нажмите кнопку Нет.

    Вы успешно настроили параметры политики локального компьютера. Теперь можно проверить результат применения этого объекта ГП.

    Проверка результатов применения политики локального компьютера

    В сценарии «Политика локального компьютера» Вы настроили параметры, отключающие определенные вкладки в панели управления обозревателем Internet Explorer. Следующая процедура позволяет увидеть, как отразилось применение этих параметров локальной групповой политики на пользовательском интерфейсе.

    Проверка результатов применения политики локального компьютера
    1. Выйдите из системы. Войдите в систему под учетной записью пользователя, созданной в процессе выполнения процедуры «Создание учетной записи обычного пользователя, не имеющей административных полномочий».
    2. Откройте меню Пуск, правой кнопкой мыши щелкните на значке Internet Explorer и в контекстном меню выберите пункт Свойства Интернета. В результате этих действий появится диалоговое окно панели управления обозревателем со следующим сообщением: «Использование этой возможности было запрещено системным администратором».
    3. Выйдите из системы. Войдите в систему под учетной записью с правами локального администратора. Снова выполните шаг 2.

    Сценарий «Политика локального компьютера» показывает, что в случае применения параметров политики локального компьютера доступ к панели управления обозревателем запрещен как для обычных пользователей, так и для администраторов компьютера.

    Сценарий 2. Политика «Локальный компьютер\Не администраторы»

    Политика Локальный компьютер\Не администраторы содержит пользовательские параметры, применяющиеся ко всем пользователям компьютера, не являющимся членами группы локальных администраторов. В этом сценарии Вы настроите параметры политики, перечисленные в Приложении Б. Параметры политики «Локальный компьютер\Не администраторы». Данные параметры влияют на работу меню Пуск и панели задач.

















    Смотрите также:

    Tags: ,

    Readers Comments (Комментариев нет)

    Comments are closed.



    Exchange 2007

    Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

    Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

    Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

    Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

    Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

    Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

    Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

    Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

    Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

    Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

    Установка и настройка Exchange 2007 из командной строки (Часть 3)

    If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

    Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

    Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

    Развертывание сервера Exchange 2007 Edge Transport (часть 5)

    Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

    Установка и настройка Exchange 2007 из командной строки (часть 2)

    Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

    Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

    Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]