Параметры безопасности, а также другие настройки конфигурации компьютеров, не входящих в домен Windows Active Directory (AD), таких как совместно используемые тестовые системы, библиотечные киоски и демонстрационные рабочие станции, можно устанавливать с помощью локальных политик компьютера (Local Computer Policy). Один из главных недостатков определения указанных настроек в политике Local Computer Policy в системе Windows до выхода в свет версии Windows Vista состоял в том, что к системам, не подключенным к домену, можно применять только одну политику, и эта политика распространяется на всех пользователей данной системы. Следовательно, администраторам, у которых возникает необходимость зарегистрироваться на компьютере и управлять им без ограничений, приходится преодолевать определенные трудности для отмены настроек, применяемых к обычным пользователям.
Но в среде Vista можно работать с несколькими объектами локальных групповых политик, и это дает возможность обеспечивать более высокий уровень гибкости параметров безопасности и настроек конфигурации при управлении системами, которые не входят в домен AD. Рассмотрим, как в среде Vista осуществляется обработка нескольких объектов локальной групповой политики и каким образом следует устанавливать различные настройки для каждого из пользователей локальной системы. Отметим, что в контексте данной статьи слово «политика» означает локальную групповую политику (Local Group Policy), а не групповую политику AD (AD Group Policy), если в тексте не указано иное.
Несколько локальных групповых политик
В системах Windows, эксплуатировавшихся до появления версии Vista, был реализован лишь один объект локальной групповой политики — Local Computer Policy. Этот объект содержит настройки как для компьютера, так и для пользователей. Объект Local Computer Policy (известный также как Local Group Policy) существует и в Vista, причем его можно использовать таким же образом, как в системах Windows XP и Windows 2000. К примеру, в среде Vista объект Local Group Policy можно применять для определения настроек, которые будут относиться ко всем пользователям данной системы.
Но в Vista реализованы и более детализированные средства. С одной стороны, вы можете определить локальную групповую политику, которая содержит и пользовательские, и компьютерные настройки, а с другой — определять такие политики, как Administrators Local Group Policy и Non-Administrators Local Group Policy; обе они содержат только пользовательские настройки. Можно также создавать любое количество локальных групповых политик для тех или иных пользователей. Такие политики применяются к локальным учетным записям пользователей и содержат только пользовательские настройки. Отметим, что в каждый момент времени к тому или иному пользователю может быть применена лишь одна политика, и система Vista автоматически рассчитывает, какая именно политика должна быть применена к пользователю в зависимости от членства последнего в локальных группах. К примеру, если учетные записи не принадлежат локальной группе Administrators, Vista применит к таким учетным записям политику Non-Administrators Local Group Policy.
Обработка локальных групповых политик
Итак, администратор может создавать в среде Vista множество локальных групповых политик, поэтому неудивительно, что порядок, в котором применяются объекты локальных групповых политик, имеет большое значение. Как и в случае с групповыми политиками AD, существует определенная иерархия обработки: прежде всего применяется локальная групповая политика Local Group Policy. Затем идет Administrator Local Group Policy или Non-Administrator Local Group Policy. И в последнюю очередь применяются политики, определенные специально для того или иного пользователя. Последняя из обрабатываемых политик имеет приоритет по отношению ко всем остальным.
Ниже приводится поэтапное описание настройки объектов локальных групповых политик, а также разъясняется, каким образом они обрабатываются. Перед тем как приступать к настройке нескольких объектов локальных групповых политик, нужно создать локальную пользовательскую учетную запись (с помощью которой вы будете испытывать локальные групповые политики). Эта запись должна быть членом только одной локальной группы — группы Users.
-
Зарегистрируйтесь в системе Vista с учетной записью, наделенной административными привилегиями. В поле Run меню Start следует ввести символы mmc и нажать кнопку ОК.
-
В консоли Microsoft Management Console (MMC) необходимо открыть меню File и выбрать пункт Add/Remove Snap-in. В разделе Available snap-ins нужно выделить редактор объектов групповых политик Group Policy Object Editor и нажать кнопку Add.
-
Убедитесь, что в поле Group Policy Object диалогового окна Group Policy Object Editor отображается объект Local Computer, и нажмите кнопку Finish. Теперь политика Local Computer Policy должна отображаться в поле Selected snap-ins окна Add/Remove Snap-ins.
-
Чтобы добавить в консоль MMC еще одну локальную групповую политику, следует удостовериться, что редактор Group Policy Object Editor по-прежнему выделен в поле Available snap-ins, и нажать кнопку Add. Далее в окне редактора Group Policy Object Editor нажмите кнопку Browse.
-
Перейдите на вкладку Users, выделите объект Non-Administrators и нажмите ОК, как показано на экране 1. В консоли MMC объект Local Group Policy отобразится как Local Computer PolicyNon-Administrators.
-
Для добавления в консоль MMC третьего объекта Local Group Policy нужно повторить шаги 4 и 5, но на вкладке Users выбрать учетную запись локального пользователя, которая была создана ранее. Затем вернитесь в заполненное окно MMC. Для этого нужно нажать кнопку ОК в окне Add/Remove Snap-ins.
Три объекта локальной групповой политики, добавленные в MMC (Local Computer Policy, Local Computer PolicyNon-Administrators, Local Computer PolicyUser), должны быть доступны для редактирования.
Теперь давайте зададим настройку Hide Desktop Tab в каждом объекте локальной групповой политики (чтобы добраться до этой настройки, нужно, как показано на экране 2, последовательно выбирать пункты User ConfigurationAdministrative TemplatesControl PanelDisplay). В результате мы получим демонстрацию того, как обрабатываются объекты локальной групповой политики. В таблице приведены настройки Hide Desktop Tab для каждой локальной групповой политики.
Настроив конфигурацию каждой локальной групповой политики, следует открыть окно командной строки и ввести команду
gpupdate /force
Эта команда обеспечивает немедленную обработку локальной групповой политики. Далее требуется зарегистрироваться со стандартной пользовательской учетной записью, для которой была создана предназначенная для соответствующего пользователя локальная групповая политика (Local Computer PolicyUser), и открыть панель управления. Хотя данный пользователь и не является членом локальной группы Administrators, вы тем не менее можете просматривать вкладку Desktop, а также изменять фон рабочего стола, поскольку политика Local Computer PolicyUser обрабатывалась после всех других политик, а значит, если эта политика предписывает не использовать ту или иную настройку, настройка не применяется даже в том случае, когда политика Local Computer PolicyNon-Administrators предписывает это делать.
Теперь закройте окно панели управления и вновь зарегистрируйтесь в системе с учетной записью администратора; это нужно для модификации политики Local Computer PolicyUser, чтобы настройка Hide Desktop Tab не применялась. После этого вновь выполняем команду
gpupdate /force
Теперь нужно снова зарегистрироваться в системе с учетной записью пользователя и открыть окно панели управления. На этот раз при попытке изменить цвет фона рабочего стола на экране должно появиться сообщение о том, что данная функция отключена, как показано на экране 3. В этом случае управляющая сокрытием рабочего стола настройка политики Non-Administrators Local Group Policy имеет приоритет, ибо в относящейся к конкретному пользователю локальной групповой политике данная настройка не была выполнена. Все пользователи локальной системы, являющиеся членами группы Administrators, смогут модифицировать фон рабочего стола, но для всех остальных пользователей доступ к настройкам рабочего стола будет закрыт.
Удаление объектов локальных групповых политик
Вы можете удалить локальные групповые политики Administrator/Non-Administrator или составленные для конкретных пользователей локальные групповые политики, однако возможность удаления собственно объектов локальных групповых политик не предусмотрена. Чтобы удалить локальные групповые политики Administrator/Non-Administrator или составленные для конкретных пользователей локальные групповые политики, правой клавишей мыши нужно щелкнуть на политике, которую требуется удалить, затем выбрать в меню пункт Remove Group Policy Object и нажать кнопку Yes.
Отключение функции обработки локальной групповой политики
Если пользователь домена имеет полномочия администратора на той или иной системе и вы хотите, чтобы он применял только те политики, которые сформированы на базе домена, это можно осуществить, отключив функцию обработки локальных групповых политик. Данную операцию можно выполнить, когда машина подключена к домену AD. Для этого нужно выбрать настройку Turn off Local Group Policy objects processing, установить которую можно, последовательно выбирая пункты Computer ConfigurationAdministrative TemplatesSystemGroup Policy.
Функцию обработки нескольких объектов локальных групповых политик удобно применять в ситуациях, когда для каждого пользователя компьютера необходимо определить особые настройки защиты данных или конфигурации и когда компьютер не подключен к домену. Обработка ряда объектов локальных групповых политик осуществляется аналогично тому, как обрабатываются групповые политики AD, так что принцип локальной групповой политики прост. В связи с тем что система обрабатывает несколько объектов локальных групповых политик, настройка Vista может усложниться, однако это обстоятельство не должно влиять на процедуру создания объектов групповых политик (Group Policy Object, GPO) на базе доменов. Благодаря возможности настройки нескольких объектов локальных групповых политик администраторы получают более эффективные средства контроля безопасности и управления настройками в ситуациях, когда управление на основе доменов невозможно или нежелательно.
Таким образом, среда Windows Vista обеспечивает возможность конфигурирования и обработки нескольких объектов локальных групповых политик.
Windows Vista позволяет управлять несколькими объектами локальных групповых политик для машин, не входящих в домен Active Directory.
В данной системе допускается конфигурирование объектов Local Group Policy, Administrators Local Group Policy, Non-Administrators Local Group Policy, а также объектов локальных групповых политик, связанных с конкретными пользователями.
Рассел Смит (rms@russell-smith.net ) — независимый ИТ-консультант, специализируется на управлении системами