В этой статье я расскажу, как действует многоуровневая локальная групповая политика в Windows 7, и объясню, как ее использовать, на одном простом примере.
Как действует многоуровневая локальная групповая политика
Локальная групповая политика в Windows XP позволяет изменять сотни системных и пользовательских параметров настройки, чтобы ограничить или наоборот расширить доступ к различным элементам системы, в зависимости от того, какую степень свободы вы готовы предоставить пользователям компьютера. Однако эти настройки действуют для всех пользователей — даже для администраторов.
Чтобы управлять настройками для отдельных пользователей в рамках одной системы, в Windows 7 применяется многоуровневая локальная групповая политика, состоящая из трех уровней:
• первый уровень — стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки (политики), которые будут действовать для всех пользователей, включая администратора; • второй уровень — локальная групповая политика для администраторов и не-администраторов, которая позволяет управлять настройками для этих двух групп пользователей раздельно; • третий уровень — групповая политика для отдельных пользователей, позволяющая устанавливать определенные настройки только для конкретных учетных записей.
Нетрудно догадаться, что перечисленные политики обрабатываются последовательно в зависимости от уровня. Сначала применяется локальная групповая политика, затем политика для администраторов/не-администраторов, и наконец, политика для конкретных пользователей. При конфликтующих настройках предпочтение отдается той политике, которая обрабатывается последней.
К примеру, если локальная групповая политика, которая применяется первой, отключает определенные настройки, а политика для конкретного пользователя их наоборот активирует, эти настройки остаются включенными, поскольку Windows 7 обрабатывает пользовательскую политику последней. Если существует несколько пользовательских политик, и лишь одна из них активирует определенные настройки, эти настройки будут отключены для тех учетных записей, для которых действует только локальная групповая политика.
Пример
Теперь, когда вы представляете, как работает многоуровневая локальная групповая политика, давайте рассмотрим ее применение на примере. Предположим, у нас есть два пользователя одного компьютера, Дик и Джейн. Нам нужно сделать так, чтобы Панель управления открывалась для них в виде списка значков, а не по категориям. Кроме того, мы хотим ограничить возможности Дика по редактированию меню «Пуск» и панели задач, оставив при этом Джейн полную свободу действий в данном отношении.
Создание консоли управления
Для начала создадим новую консоль управления (Microsoft Management Console, MMC), в которую будем добавлять объекты групповой политики. Откройте меню «Пуск» (Start), введите в строке поиска «mmc» (без кавычек), нажмите [Enter] и подтвердите выполнение операции в окне контроля учетных записей (UAC).
В появившемся окне (рис. A) откройте меню «Файл» (File) и выберите опцию «Добавить или удалить оснастку» (Add/Remove Snap-in). В диалоговом окне «Добавление и удаление оснасток» (Add/Remove Snap-ins, рис. B) найдите и выделите «Редактор объектов групповой политики» (Group Policy Object Editor), а затем нажмите кнопку «Добавить» (Add).
Рисунок A. Чтобы воспользоваться многоуровневой локальной групповой политикой, необходимо создать консоль управления. Нажмите для увеличения.
Рисунок B. Найдите и выделите «Редактор объектов групповой политики» в диалоговом окне «Добавление и удаление оснасток». Нажмите для увеличения.
В окне Мастера групповой политики (Group Policy Wizard, рис. C), как видите, по умолчанию выбран «Локальный компьютер» (Local Computer). Это стандартная локальная групповая политика — первый уровень. Чтобы ее добавить, просто нажмите «Готово» (Finish).
Рисунок C. Первый уровень многоуровневой групповой политики — локальная групповая политика, или политика локального компьютера. Нажмите для увеличения.
Вернувшись в окно добавления оснастки, снова выделите «Редактор объектов групповой политики» и нажмите «Добавить». На этот раз нажмите в появившемся окне мастера кнопку «Обзор» (Browse), чтобы вызвать диалоговое окно «Поиск объекта групповой политики» (Browse for a Group Policy Object). Откройте вкладку «Пользователи» (Users), выделите группу «Не администраторы» (Non-Administrators, рис. D) и нажмите «OK», а затем «Готово».
Рисунок D. В диалоговом окне «Поиск объекта групповой политики» можно выбирать группы пользователей и отдельные учетные записи. Нажмите для увеличения.
Теперь повторите описанные действия, чтобы с помощью диалоговом окна «Поиск объекта групповой политики» добавить политики сначала для Дика, потом для Джейн. Это будут политики третьего уровня.
Наконец нажмите «OK», чтобы закрыть диалоговое окно «Добавление и удаление оснасток». Получившаяся в результате консоль управления будет выглядеть, как показано на рис. E. Сохраните ее с каким-нибудь подходящим именем, например «Multi-Local-GPO.msc».
Рисунок E. Из единой консоли удобно управлять и настраивать политики. Нажмите для увеличения.
Настройка политик
Поскольку мы хотим изменить настройки только для Дика и Джейн, начинать нужно с конфигурации политики для не-администраторов, а не с локальной политики, которая действует для всех пользователей. Чтобы изменить формат представления Панели управления по умолчанию, разверните раздел «Политика "Локальный компьютер | Не администраторы | Административные шаблоны | Панель управления"» (Local Computer | Non-Administrators Policy | User Configuration | Administrative Templates | Control Panel) и выделите политику «Всегда открывать все элементы панели управления при ее открытии» (Always Open All Control Panel Items When Opening the Control Panel, рис. F). Дважды щелкните на ней, выберите опцию «Включить» (Enabled) и нажмите «OK».
Рисунок F. Политики для рядовых пользователей настраиваются в разделе «Не администраторы». Нажмите для увеличения.
Чтобы ограничить Дику доступ к настройкам меню «Пуск» и панели задач, разверните раздел «Политика "Локальный компьютер | Дик | Административные шаблоны | Панель управления | Меню "Пуск" и панель задач"» (Local Computer | Dick Policy | User Configuration | Administrative Templates | Start Menu and Taskbar, рис. G) и включите или отключите нужные политики для опций, которые должны быть недоступны Дику. Чтобы оставить Джейн неограниченный доступ к настройкам меню «Пуск» и панели задач, сохраните параметры по умолчанию.
Рисунок G. Включите отдельные политики для каждой из учетных записей, чтобы ограничить пользователям доступ к определенным настройкам. Нажмите для увеличения.
Для завершения операции сохраните новую консоль и закройте ее. Теперь при следующем входе в систему для Дика и Джейн будут действовать разные настройки в соответствии с политиками для не-администраторов и отдельных учетных записей.
А что думаете вы?
Пригодятся ли вам возможности многоуровневой локальной групповой политики? Будете ли вы ими пользоваться? А может быть, вам уже приходилось работать с многоуровневой групповой политикой? Поделитесь своими впечатлениями в комментариях!