Использование множественной локальной групповой политикойИсточник: oszone
Эта статья является продолжением цикла руководств по групповым политикам операционных систем Windows. В связи с тем, что при помощи групповых политик домена можно управлять настройками всех компьютеров и пользователей, которые входят его состав, у вас может возникнуть вопрос: "Возможна ли реализация настроек групповых политик для всех пользователей моего локального компьютера?". Оснастка объектов локальной групповой политики позволяет управлять настройками вашего локального компьютера, а также текущего пользователя, которые не входят в состав домена. В операционных системах Windows, начиная с Windows Vista, вы можете это сделать благодаря функционалу "Множественной локальной групповой политики". Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки "Объекты локальной групповой политики" по отношению ко всем операционным системам, предшествующим Windows Vista. Этот функционал представляет собой набор объектов локальной групповой политики, который обеспечивает управление для компьютеров, групп, а также пользователей, которые не состоят в домене. К набору объектов множественной локальной групповой политики можно отнести следующее: Политика локального компьютера. Эта политика также известна как "Локальная групповая политика" и является основным объектом для множественной групповой политики. Данная локальная групповая политика применяет параметры политики к компьютеру и всем вошедшим пользователям. Используя этот набор объектов, вы можете изменять как настройки компьютера, так и пользователя, но пользовательские настройки будут применены только к группе администраторов. По существу, этот набор объектов является идентичным тем, которые были в операционной системе Windows XP. Политика группы "Администраторы" и пользователей, не входящих в группу "Администраторы". В любой операционной системе Windows создаются несколько групп и пользователей по умолчанию. Одной из этих групп является группа "Администраторы". Группа "Администраторы" создается при установке или обновлении системы по умолчанию и в этой группе по умолчанию создается один пользователь - "Администратор". Все пользователи, которые входят в эту группу являются администраторами компьютера. Локальная групповая политика группы "Администраторы" применяет параметры политики пользователя к членам этой группы. Для всех остальных пользователей, которые не входят в группу "Администраторы" применяется набор объектов локальной групповой политики "Не администраторы". Политика для отдельных локальных пользователей. Помимо встроенных учетных записей, администраторы систем Windows могут самостоятельно создавать учетные записи с разными правами. При помощи функционала множественной групповой политики вы можете управлять настройками для определённой учетной записи. Открытие оснастки "Множественная локальная групповая политика"Как таковой, оснастки "Множественная локальная групповая политика" не существует. Для того чтобы воспользоваться этим функционалом вам нужно выполнить следующие действия:
Как видно на следующем скриншоте, для этого объекта вы можете настраивать только узел "Конфигурация пользователя": Если вы планируете и в дальнейшем проводить настройки для выбранного объекта, то вам понадобится сохранить текущую оснастку. Для этого в меню "Файл" выберите команду "Сохранить как". В появившемся диалоге "Сохранить как" выберите папку, в которую должен быть сохранен файл. По умолчанию выбрана папка %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools. Если требуется сохранить файл оснастки в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку "Создание новой папки" на панели действий. В поле "Имя файла" введите имя и нажмите на кнопку "Сохранить". Примеры использования множественной локальной групповой политикиВ следующих примерах вы узнаете, как используется множественная локальная групповая политика для всех четырех ее объектов. Политика локального компьютераВ этом примере проиллюстрирован способ настройки объекта политики локального компьютера. Использование этого объекта ничем не отличается от действий, выполняемых при помощи оснастки "Редактор локальной групповой политики". Соответственно, для этого объекта доступны оба узла групповых политик - "Конфигурация компьютера" и "Конфигурация пользователя". Используя политику локального компьютера, запретим всем пользователям вашего локального компьютера открывать редактор системного реестра, а также использовать командную строку. Для этого выполните следующее:
Перезагрузите компьютер для проверки параметров. После перезагрузки, для того чтобы проверить результат настройки групповой политики локального компьютера, выполните следующие действия:
Локальная групповая политика группы "Администраторы"Из этого примера вы увидите, как действуют настройки объектов набора локальной групповой политики группы "Администраторы". Этот набор объектов действует только на те учетные записи, которые являются членами группы "Администраторы". В этом примере, используя локальную групповую политику группы "Администраторы добавьте в меню "Пуск" команду "Выполнить" и отключите "Windows Media Center". Для этого выполните следующие действия:
Перезагрузите компьютер для проверки параметров. После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики группы "Администраторы", войдите в систему под учетной записью, которая состоит в группе "Администраторы". Нажмите на кнопку "Пуск" для открытия меню. Как показано на следующем скриншоте, в меню появилась команда "Выполнить", причем, эта ссылка есть в меню "Пуск", независимо от того, установлен ли в диалоговом окне "Настройка меню "Пуск"" флажок на опции "Команда "Выполнить"" или нет. Локальная групповая политика пользователей, не входящих в группу администраторовИз этого примера вы узнаете, как можно настроить групповые политики для пользователей, которые не входят в группу "Администраторы". Для того чтобы выполнить действия, которые описаны в следующей процедуре, у вас должна быть учетная запись обычного пользователя. Способы создания учетных записей пользователей были расписаны в статье "Работа с учетными записями пользователей в Windows 7 - подробное руководство (Часть 1)". В этом примере, используя локальную групповую политику для пользователей, которые не входят в группу администраторы, отключим в браузере Internet Explorer вкладки "Дополнительно", "Безопасности", "Программы" и "Подключение", а также включим ClearType и анимацию для веб-страниц. Для этого выполните следующие действия:
Перезагрузите компьютер для проверки параметров. После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики пользователей, не входящих в группу "Администраторы", войдите в систему под учетной записью, которая не состоит в группе "Администраторы". Откройте "Свойства обозревателя" веб-браузера Internet Explorer. Как видите на следующем скриншоте, вкладки, которые были отключены при помощи групповых политик не отображаются. Причем, открыв этот же диалог под учетной записью, которая входит в группу "Администраторы" все отключенные выше вкладки будут отображаться. Локальная групповая политика для отдельного пользователяЭтот пример показывает способ настройки параметров групповой политики для определенного пользователя, который есть на вашем компьютере. В этом примере, мы укажем для пользователя конкретную визуальную тему и запретим изменять все параметры окна персонализации. Для этого выполните следующие действия:
Перезагрузите компьютер для проверки параметров. После перезагрузки, зайдите в систему под учетной записью того пользователя, для которого вы изменяли параметры групповой политики. Зайдите в окно "Персонализация". Как видно на следующем скриншоте, под этой учетной записью у вас нет прав для изменения текущих настроек, причем у всех остальных учетных записей вашего компьютера на выполнение этих действия права остаются. Удаление объектов локальной групповой политикиВ некоторых случаях, перед вами может стоять необходимость удаления объектов локальной групповой политики. Вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики. Удалить их вы можете следующим образом:
ЗаключениеВ данной статье рассмотрен вопрос применения и настройки "Множественной локальной групповой политики". Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки "Объекты локальной групповой политики" по отношению ко всем операционным системам, предшествующим Windows Vista. Используя инструкции данной статьи, вы научились открывать оснастку "Множественная локальная групповая политика", познакомились с примерами использования множественной локальной групповой политики. В описанных выше примерах вы узнали, как используется множественная локальная групповая политика для всех четырех ее объектов: политики локального компьютера, локальной групповой политики группы "Администраторы", локальной групповой политики пользователей, не входящих в группу администраторов, а также локальной групповой политики для отдельного пользователя. Ознакомившись с инструкцией удаления объектов локальной групповой политики, вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики |