1.7.1. Принудительные связи объектов групповых политик

Если вы зашли в более технические уголки Windows или услышали разговоры от своего ИТ-отдела, возможно, вы слышали о групповой политике. Но если вы не работали в IT, вы, вероятно, никогда не использовали его.

Отключение объектов групповых политик

При необходимости, для определенного объекта групповой политики вы можете запретить изменение параметров политик для узлов «Конфигурация компьютера»или«Конфигурация пользователя»средствами изменения состояния объекта GPO. Для этого выберите объект групповой политики, перейдите на вкладку«Таблица»(рисунок 21) и из раскрывающегося списка«Состояние GPO»выберите один из следующих параметров:

Рисунок 21. Выбор состояния объекта групповой политики

  • Включено. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация пользователя. Данный параметр установлен для всех объектов групповых политик по умолчанию;

  • Все параметры отключены. При выборе данного параметра, объект групповой политики не будет обрабатываться;

  • Параметры конфигурации компьютера отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации пользователя. В свою очередь, параметры конфигурации компьютера будут отключены;

  • Параметры конфигурации пользователя отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, параметры конфигурации пользователя будут отключены;

Установить состояние объектов групповых политик можно и другим методом. Для этого разверните контейнер «Объекты групповой политики», выберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню выберите команду«Состояние объекта групповой политики»и установите требуемое состояние. Но в этом случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в дальнейшем будет создана связь с данным объектом GPO.

Доступ к редактору локальной групповой политики

Программа, входящая в состав Windows Pro и называемая редактором групповой политики, позволяет просматривать и вносить изменения в локальную групповую политику. Чтобы получить к нему доступ, просто введите в меню «Пуск» или «Выполнить» или используйте другой метод, чтобы открыть редактор групповой политики

В редакторе групповой политики вы увидите Конфигурация компьютера а также Конфигурация пользователя поля. Как вы можете догадаться, первый содержит настройки, которые применяются ко всей машине, в то время как Конфигурация пользователя только для текущего пользователя.

Вы можете настроить всевозможные варианты здесь; мы попробуем несколько ниже.

Локальные групповые политики

Групповые политики полезны не только для управления компьютерами в сетях предприятий. Если у вас профессиональная или выше версия Windows, вы также можете использовать групповые политики — для этого в Windows есть программа Редактор локальной групповой политики.

Используя групповые политики, вы можете изменить настройки системы, которые нельязя настроить через графический интерфейс системы Windows. Например, если вы хотите установить свой экран входа в систему Windows 7, вы можете это сделать как в редакторе групповых политик, так в редакторе реестра Windows, но в первом случае процесс настройки удобней и более нагляден. Помимо настроек экрана входа в систему, имеется множество других параметров, где может пригодиться применение групповых политик, например вы можете скрыть облсть уведомлений (чаще его называют системный трей).

Редактор локальной групповой политики может быть также полезен для ограничения доступа к компьютеру, аналогично тому, как ограничивают доступ к компьютеру, находящемуся в сети предприятия. Данная возможность может пригодиться, если вашим компьютером пользуются дети. Например, вы можете разрешить пользователям запуск только определенных программ, ограничить доступ пользователя, только к определенным дискам, или установить политику паролей пользователей, включая минимальную дляину пароля и его сложность.

Трюк Обходим загрузку политик

Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:

  1. Админ создает объект групповой политики.
  2. Привязывает его к каким-то элементам домена.
  3. При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
  4. При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.

Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:

  1. Вынимаем патч-корд из компа.
  2. Включаем комп и логинимся под своей учеткой.
  3. Подключаем патч-корд обратно.

Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.

Читайте также:  Администрирование Windows для начинающих