Параметри безпеки, а також інші настройки конфігурації комп'ютерів, що не входять в домен Windows Active Directory (AD), таких як спільно використовуються тестові системи, бібліотечні кіоски та демонстраційні робочі станції, можна встановлювати за допомогою локальних політик комп'ютера (Local Computer Policy). Один з головних недоліків визначення зазначених параметрів в політиці Local Computer Policy в системі Windows до виходу в світ версії Windows Vista полягав у тому, що до систем, що не підключеним до домену, можна застосовувати тільки одну політику, і ця політика поширюється на всіх користувачів даної системи . Отже, адміністраторам, у яких виникає необхідність зареєструватися на комп'ютері і керувати ним без обмежень, доводиться долати певні труднощі для скасування налаштувань, що застосовуються до звичайних користувачів.
Але в середовищі Vista можна працювати з декількома об'єктами локальних групових політик, і це дає можливість забезпечувати більш високий рівень гнучкості параметрів безпеки і налаштувань конфігурації при управлінні системами, які не входять до домен AD. Розглянемо, як в середовищі Vista здійснюється обробка декількох об'єктів локальної групової політики і яким чином слід встановлювати різні настройки для кожного з користувачів локальної системи. Відзначимо, що в контексті даної статті слово «політика» означає локальну групову політику (Local Group Policy), а не групову політику AD (AD Group Policy), якщо в тексті не зазначено інше.
Кілька локальних групових політик
У системах Windows, що експлуатувалися до появи версії Vista, був реалізований лише один об'єкт локальної групової політики - Local Computer Policy. Цей об'єкт містить настройки як для комп'ютера, так і для користувачів. Об'єкт Local Computer Policy (відомий також як Local Group Policy) існує і в Vista, причому його можна використовувати таким же чином, як в системах Windows XP і Windows 2000. Наприклад, в середовищі Vista об'єкт Local Group Policy можна застосовувати для визначення параметрів, які будуть ставитися до всіх користувачів даної системи.
Але в Vista реалізовані і більш деталізовані кошти. З одного боку, ви можете визначити локальну групову політику, яка містить і призначені для користувача, і комп'ютерні настройки, а з іншого - визначати такі політики, як Administrators Local Group Policy і Non-Administrators Local Group Policy; обидві вони містять тільки призначені для користувача настройки. Можна також створювати будь-яку кількість локальних групових політик для тих чи інших користувачів. Такі політики застосовуються до локальних облікових записів користувачів і містять тільки призначені для користувача настройки. Відзначимо, що в кожен момент часу до того чи іншого користувачеві може бути застосована лише одна політика, і система Vista автоматично розраховує, яка саме політика повинна бути застосована до користувача в залежності від членства останнього в локальних групах. Наприклад, якщо облікові записи не належать локальній групі Administrators, Vista застосує до таких облікових записів політику Non-Administrators Local Group Policy.
Обробка локальних групових політик
Отже, адміністратор може створювати в середовищі Vista безліч локальних групових політик, тому не дивно, що порядок, в якому застосовуються об'єкти локальних групових політик, має велике значення. Як і у випадку з груповими політиками AD, існує певна ієрархія обробки: перш за все застосовується локальна групова політика Local Group Policy. Потім йде Administrator Local Group Policy або Non-Administrator Local Group Policy. І в останню чергу застосовуються політики, визначені спеціально для того чи іншого користувача. Остання з оброблюваних політик має пріоритет по відношенню до всіх інших.
Нижче наводиться поетапне опис настройки об'єктів локальних групових політик, а також роз'яснюється, яким чином вони обробляються. Перед тим як приступати до налаштування декількох об'єктів локальних групових політик, потрібно створити локальну призначену для користувача обліковий запис (за допомогою якої ви будете відчувати локальні групові політики). Цей запис має бути членом тільки однієї локальної групи - групи Users.
Увійдіть у систему Vista з обліковим записом, наділеною адміністративними привілеями. В поле Run меню Start слід ввести символи mmc і натиснути кнопку ОК.
В консолі Microsoft Management Console (MMC) необхідно відкрити меню File і вибрати пункт Add / Remove Snap-in. У розділі Available snap-ins потрібно виділити редактор об'єктів групових політик Group Policy Object Editor і натиснути кнопку Add.
Переконайтеся, що в полі Group Policy Object діалогового вікна Group Policy Object Editor відображається об'єкт Local Computer, і натисніть кнопку Finish. Тепер політика Local Computer Policy повинна відображатися в поле Selected snap-ins вікна Add / Remove Snap-ins.
Щоб додати в консоль MMC ще одну локальну групову політику, слід упевнитися, що редактор Group Policy Object Editor як і раніше виділений в полі Available snap-ins, і натиснути кнопку Add. Далі у вікні редактора Group Policy Object Editor натисніть кнопку Browse.
Перейдіть на вкладку Users, виділіть об'єкт Non-Administrators і натисніть ОК, як показано на екрані 1. У консолі MMC об'єкт Local Group Policy відобразиться як Local Computer PolicyNon-Administrators.
Щоб додати до консоль MMC третього об'єкта Local Group Policy потрібно повторити кроки 4 і 5, але на вкладці Users вибрати обліковий запис локального користувача, яка була створена раніше. Потім поверніться у заповнене вікно MMC. Для цього потрібно натиснути кнопку ОК у вікні Add / Remove Snap-ins.
Три об'єкти локальної групової політики, додані в MMC (Local Computer Policy, Local Computer PolicyNon-Administrators, Local Computer PolicyUser), повинні бути доступні для редагування.
Тепер давайте задамо налаштування Hide Desktop Tab в кожному об'єкті локальної групової політики (щоб дістатися до цієї настройки, потрібно, як показано на екрані 2, послідовно вибирати пункти User ConfigurationAdministrative TemplatesControl PanelDisplay). В результаті ми отримаємо демонстрацію того, як обробляються об'єкти локальної групової політики. У таблиці наведено настройки Hide Desktop Tab для кожної локальної групової політики.
Налаштувавши конфігурацію кожної локальної групової політики, слід відкрити вікно командного рядка і ввести команду
gpupdate / force
Ця команда забезпечує негайну обробку локальної групової політики. Далі потрібно зареєструватися зі стандартною користувальницької обліковим записом, для якої була створена призначена для відповідного користувача локальна групова політика (Local Computer PolicyUser), і відкрити панель управління. Хоча даний користувач і не є членом локальної групи Administrators, ви тим не менш можете переглядати вкладку Desktop, а також змінювати фон робочого столу, оскільки політика Local Computer PolicyUser оброблялася після всіх інших політик, а значить, якщо ця політика наказує не використовувати ту чи іншу настройку, настройка не застосовується навіть в тому випадку, коли політика Local Computer PolicyNon-Administrators наказує це робити.
Тепер закрийте вікно панелі управління і знову зареєструйтеся в системі з обліковим записом адміністратора; це потрібно для модифікації політики Local Computer PolicyUser, щоб настройка Hide Desktop Tab не застосовувалася. Після цього знову виконуємо команду
gpupdate / force
Тепер потрібно знову зареєструватися в системі з обліковим записом користувача і відкрити вікно панелі управління. На цей раз при спробі змінити колір фону робочого столу на екрані має з'явитися повідомлення про те, що дана функція відключена, як показано на екрані 3. У цьому випадку керуюча приховуванням робочого столу настройка політики Non-Administrators Local Group Policy має пріоритет, бо в що відноситься до конкретного користувача локальної групової політики дана установка не була виконана. Всі користувачі локальної системи, що є членами групи Administrators, зможуть модифікувати фон робочого столу, але для всіх інших користувачів доступ до налаштувань робочого столу буде закритий.
Видалення об'єктів локальних групових політик
Ви можете видалити локальні групові політики Administrator / Non-Administrator або складені для конкретних користувачів локальні групові політики, проте можливість видалення власне об'єктів локальних групових політик не передбачена. Щоб видалити локальні групові політики Administrator / Non-Administrator або складені для конкретних користувачів локальні групові політики, правою клавішею миші потрібно клацнути на політиці, яку потрібно видалити, потім вибрати в меню пункт Remove Group Policy Object і натиснути кнопку Yes.
Відключення функції обробки локальної групової політики
Якщо користувач домену має повноваження адміністратора на тій чи іншій системі і ви хочете, щоб він застосовував лише ті політики, які сформовані на базі домену, це можна здійснити, відключивши функцію обробки локальних групових політик. Дану операцію можна виконати, коли машина підключена до домену AD. Для цього потрібно вибрати настройку Turn off Local Group Policy objects processing, встановити яку можна, послідовно вибираючи пункти Computer ConfigurationAdministrative TemplatesSystemGroup Policy.
Функцію обробки декількох об'єктів локальних групових політик зручно застосовувати в ситуаціях, коли для кожного користувача комп'ютера необхідно визначити установки захисту даних або конфігурації і коли комп'ютер не підключений до домену. Обробка ряду об'єктів локальних групових політик здійснюється аналогічно тому, як обробляються групові політики AD, так що принцип локальної групової політики простий. У зв'язку з тим що система обробляє кілька об'єктів локальних групових політик, настройка Vista може ускладнитися, проте ця обставина не повинна впливати на процедуру створення об'єктів групових політик (Group Policy Object, GPO) на базі доменів. Завдяки можливості настройки кількох об'єктів локальних групових політик адміністратори отримують більш ефективні засоби контролю безпеки і управління настройками в ситуаціях, коли управління на основі доменів неможливо або небажано.
Таким чином, середа Windows Vista забезпечує можливість конфігурації і обробки декількох об'єктів локальних групових політик.
Windows Vista дозволяє керувати кількома об'єктами локальних групових політик для машин, що не входять в домен Active Directory.
У даній системі допускається конфігурація об'єктів Local Group Policy, Administrators Local Group Policy, Non-Administrators Local Group Policy, а також об'єктів локальних групових політик, пов'язаних з конкретними користувачами.
Рассел Сміт ( [email protected] ) - незалежний ІТ-консультант, спеціалізується на управлінні системами
