Политики пользователя и компьютера
Политика пользователя (параметры которой расположены на узле Конфигурация пользователя - User Configuration в групповой политике) начинает работу при входе пользователя в систему.
Параметры политики компьютера, расположенные в Конфигурации компьютера - Computer Configuration, начинают работать при запуске компьютера.
Пользователи и компьютеры — это только типы объектов Active Directory, получающих политику. В частности, политика не применяется к группам безопасности.
Действие групповых политик.
Каждая групповая политика действует в своей области действия: домен, OU, сайт, локальный компьютер или контроллер домена, которые называются объектами групповой политики – GPO (Group Policy Object). Другими словами, объектами групповой политики являются все структурные части Active Directory. Для каждого GPO можно задать свою политику.
Как же действуют разные политики, когда они есть все вместе?
Во-первых. В каждой политике при ее редактировании можно либо задавать различные параметры настройки явно ( ставить галочку), либо вообще не задавать ( т.е. параметр будет не определен). При этом :
1) если параметр задан явно для политики, то он действует в таком порядке:
Локальная политика - Сайт - Домен -> Организационная единица
При этом действовать в результате будет последний (т.е.организационной единицы)
2) если параметр не задан, то действует такой же параметр, заданный явно для более верхнего уровня политики (самый верхний – локальный, самый нижний - для OU). Если ни в одной политике выше не задан ни один такой параметр, то действие , на которое влияет этот параметр выполняться не будет
Следует отметить, что после настройки групповая политика действует не сразу, а после перезахода пользователя или спустя определенный интервал ( заданный в настройках самой политики). Для того, чтобы политика начала действовать сразу, необходимо в командной строке задать одну из команд:
Secedit /refreshpolicy machine_policy для применения политики компьютера
Secedit /refreshpolicy user _policy для применения политики пользователя
Применение групповых политик явно задается для пользователей, групп, компьютеров … в свойствах каждой политики в закладке security.
При этом можно задать :
| Установленное значение для группы | Результат применения политиики |
| Apply Group Policy: Allow Read: Allow | Применяется ко всем членам группы, кроме тех, для кого в другой группе задано dany (в Apply или Read) |
| Apply Group Policy: Dany Read: Dany | Не будет применяться, независимо от применения в других группах, в которые входят эти пользователи |
| Apply Group Policy: не установлено Read: не установлено | Применение зависит от установки в других группах |
Блокировка применения политики: каждая политика может заблокировать действие параметров верхнего уровня для не заданных параметров текущей политики. Т.е. если параметр не задан в текущей политике, то аналогичные параметры верхних политик тоже не будут действовать. Для такой блокировки нужно в закладке групповой политики ( в свойствах домена, сайта или OU) включить флаг
«Block Policy inheritance»