gorbunov.pro

Блог Алексея Горбунова для специалистов по технологиям Microsoft.
Учебные статьи, руководства для администраторов, практические примеры, консультации.
«Я всегда выберу ленивого человека делать трудную работу, потому что он найдет легкий путь ее выполнения». Билл Гейтс.
Короче, блог для тех, кто всегда ищет легкие пути 😉

Страницы

Multiple Local Group Policy objects

В данной статье я хочу рассказать о множественных локальных групповых политиках (Multiple Local Group Policy objects, MLGPOs) и вариантах их применения.

Теория

Какие бывают Local GPO?

На всех современных компьютерах с операционной системой Windows имеется возможность настройки локальной групповой политики.

В Windows XP, Windows 2000 и Windows Server 2003 существует только одна локальная групповая политика, содержащая в себе настройки компьютера и всех локальных учетных записей. В различных утилитах эта политика может называться Local Group Policy, Local Computer Policy и т.п. В русской версии Windows она называется “Локальный компьютер”. Особенностью политики “Локальный компьютер” является ее применение абсолютно ко всем пользователям компьютера. Например, отключенная через эту политику Control Panel будет недоступна всем пользователям, включая локальных администраторов.

В Windows Vista, Windows 7 и Windows Server 2008 появилась возможность создания нескольких локальных групповых политик:

• “Локальный компьютер”
• “Администраторы”
• “Не администраторы”
• Персональные GPO для каждой учетной записи

Полноценным GPO является только “Локальный компьютер”, остальные GPO содержат лишь подмножество пользовательских настроек.

Порядок применения нескольких локальных GPO

Порядок применения нескольких локальных групповых политик (и, соответственно, приоритет настроек) такой, как они перечислены в списке:

• первой применяется политика “Локальный компьютер”;
• второй применяется политика “Администраторы” или “Не администраторы”;
• третьей применяется политика индивидуального пользователя.

Разрешение конфликтов множественных локальных GPO

Для начала напомню, что компьютерные настройки имеются только в GPO “Локальный компьютер”. При наличии конфликта между пользовательскими настройками и компьютерными, компьютерные всегда имеют более высокий приоритет.

При наличии конфликта пользовательских настроек между различными GPO действует правило “кто последний, тот и прав”, т.е. приоритетнее та политика, которая применяется позже.

Политики “Администраторы” и “Не администраторы” конфликтовать между собой не могут, поскольку к пользователю может применяться только одна из них; по той же причине не могут конфликтовать между собой индивидуальные пользовательские политики.

Практика

Настройка консоли редактирования локальных политик

Приведенные ниже скриншоты могут немного отличаться в различных версиях Windows.

Для конфигурирования локальной политики необходимо запустить Microsoft Management Console (Start –> Run –> mmc.exe).

В открывшемся окне консоли нужно добавить оснастку Group Policy Object Editor (Редактор объекта групповой политики в русскоязычном варианте).

После нажатия кнопки Добавить… открывается окно мастера выбора объекта GPO.

После нажатия кнопки Обзор… мастер выдает список доступных политик. Если настраиваемый компьютер включен в домен, то в мастере будут выведены вкладки доменных групповых политик.

Например, для Windows XP, включенной в домен, вкладки выглядят так…

…а для Windows 7, не включенной в домен, так:

Как видно из последнего рисунка, в Windows 7 существует возможность создания множественных локальных групповых политик.

Для администрирования множественных локальных групповых политик удобнее всего создать свою собственную консоль, в которую добавить все имеющиеся локальные GPO, например так:

Где хранятся локальные GPO?

Все файлы политики “Локальный компьютер” хранятся в папке C:\WINDOWS\system32\GroupPolicy; файлы остальных локальных GPO хранятся в папке C:\WINDOWS\system32\GroupPolicyUsers.

После загрузки компьютера, а также после входа пользователя все настройки из политик применяются к локальному компьютеру. Изменения реестра заносятся в отдельные ветви: HKEY_LOCAL_MACHINE\SOFTWARE\Policies и HKEY_CURRENT_USER\SOFTWARE\Policies. Значения реестра в ветвях Policies имеют более высокий приоритет над настройками реестра по умолчанию.

Как удалить локальную политику?

Если вы хотите отказаться от одной из настроек политики, достаточно выставить ее в состояние “Не задано”. После применения политики данная настройка не будет вноситься в реестр в одну из ветвей Policies, и вернется та настройка, которая указана в реестре по умолчанию.

Если необходимо удалить GPO целиком, то можно открыть консоль, добавить оснастку Редактор объекта групповой политики и на вкладке Пользователи удалить политику (опция Удалить объект групповой политики доступна в контекстном меню, если GPO был создан ранее, и напротив него указано Да).

Если нужно удалить все локальные политики, достаточно почистить папки на диске, в которых политики хранятся.

Если требуется временно отключить локальную политику, то необходимо отключить пользовательскую или компьютерную конфигурацию политики через оснастку Редактор объекта групповой политики.

Практическое применение локальных групповых политик

Когда удобно применять локальные групповые политики? Варианты могут быть различные, некоторые идеи перечислены в списке:

• ограничение индивидуальных учетных записей на домашних компьютерах;
• настройка корпоративных компьютеров, не включенных в домен Active Directory;
• начальная конфигурация корпоративных компьютеров, “зашитая” в установочном образе;
• применение групповых политик для локальных учетных записей серверов и других компьютеров – членов домена (на локальные учетные записи пользователей доменная групповая политика не действует);
• индивидуальная настройка компьютеров-членов домена, когда доменные групповые политики по каким-либо причинам не настроены (за исключением самих контроллеров домена, поскольку на них множественные локальные групповые политики недоступны).

Расположение локальной политики безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите secpol.msc , после чего нажмите на клавишу Enter или щелкните на «ОК».

Буквально через секунду откроется окно управления политикой.

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.

В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.

Дожидайтесь запуска нового окна для начала работы с оснасткой.

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

В меню «Пуск» найдите mmc и перейдите к этой программе.

Через всплывающее окно «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.

В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».

Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».

Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера» — «Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.