Использование множественной локальной групповой политикой

Источник: oszone

Эта статья является продолжением цикла руководств по групповым политикам операционных систем Windows. В связи с тем, что при помощи групповых политик домена можно управлять настройками всех компьютеров и пользователей, которые входят его состав, у вас может возникнуть вопрос: "Возможна ли реализация настроек групповых политик для всех пользователей моего локального компьютера?". Оснастка объектов локальной групповой политики позволяет управлять настройками вашего локального компьютера, а также текущего пользователя, которые не входят в состав домена. В операционных системах Windows, начиная с Windows Vista, вы можете это сделать благодаря функционалу "Множественной локальной групповой политики".

Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки "Объекты локальной групповой политики" по отношению ко всем операционным системам, предшествующим Windows Vista. Этот функционал представляет собой набор объектов локальной групповой политики, который обеспечивает управление для компьютеров, групп, а также пользователей, которые не состоят в домене. К набору объектов множественной локальной групповой политики можно отнести следующее:

Политика локального компьютера. Эта политика также известна как "Локальная групповая политика" и является основным объектом для множественной групповой политики. Данная локальная групповая политика применяет параметры политики к компьютеру и всем вошедшим пользователям. Используя этот набор объектов, вы можете изменять как настройки компьютера, так и пользователя, но пользовательские настройки будут применены только к группе администраторов. По существу, этот набор объектов является идентичным тем, которые были в операционной системе Windows XP.

Политика группы "Администраторы" и пользователей, не входящих в группу "Администраторы". В любой операционной системе Windows создаются несколько групп и пользователей по умолчанию. Одной из этих групп является группа "Администраторы". Группа "Администраторы" создается при установке или обновлении системы по умолчанию и в этой группе по умолчанию создается один пользователь - "Администратор". Все пользователи, которые входят в эту группу являются администраторами компьютера. Локальная групповая политика группы "Администраторы" применяет параметры политики пользователя к членам этой группы.

Для всех остальных пользователей, которые не входят в группу "Администраторы" применяется набор объектов локальной групповой политики "Не администраторы".

Политика для отдельных локальных пользователей. Помимо встроенных учетных записей, администраторы систем Windows могут самостоятельно создавать учетные записи с разными правами. При помощи функционала множественной групповой политики вы можете управлять настройками для определённой учетной записи.

Открытие оснастки "Множественная локальная групповая политика"

Как таковой, оснастки "Множественная локальная групповая политика" не существует. Для того чтобы воспользоваться этим функционалом вам нужно выполнить следующие действия:

  1. Откройте "Консоль управления MMC". Для этого нажмите на кнопку "Пуск", в поле поиска введите mmc , а затем нажмите на кнопку "Enter";
  2. Откроется пустая консоль MMC. В меню "Консоль" выберите команду "Добавить или удалить оснастку" или воспользуйтесь комбинацией клавиш Ctrl+M;
  3. В диалоге "Добавление и удаление оснасток" выберите оснастку "Редактор объектов групповой политики" и нажмите на кнопку "Добавить";
  4. Для того чтобы выбрать нужный объект групповой политики, в появившемся диалоге "Выбор объекта групповой политики" нажмите на кнопку "Обзор";
  5. В диалоге "Поиска объекта групповой политики" перейдите на вкладку "Пользователи" и выберите объект, над которым будут проводиться настройки групповой политики, например "Не администраторы";

    *

  6. Нажмите на кнопку "ОК" в диалоге "Поиск объекта групповой политики", в диалоге "Выбор объекта групповой политики" нажмите на кнопку "Готово", а после этого нажмите на кнопку "ОК" диалога "Добавление и удаление оснасток".

Как видно на следующем скриншоте, для этого объекта вы можете настраивать только узел "Конфигурация пользователя":

*

Если вы планируете и в дальнейшем проводить настройки для выбранного объекта, то вам понадобится сохранить текущую оснастку. Для этого в меню "Файл" выберите команду "Сохранить как". В появившемся диалоге "Сохранить как" выберите папку, в которую должен быть сохранен файл. По умолчанию выбрана папка %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools. Если требуется сохранить файл оснастки в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку "Создание новой папки" на панели действий. В поле "Имя файла" введите имя и нажмите на кнопку "Сохранить".

Примеры использования множественной локальной групповой политики

В следующих примерах вы узнаете, как используется множественная локальная групповая политика для всех четырех ее объектов.

Политика локального компьютера

В этом примере проиллюстрирован способ настройки объекта политики локального компьютера. Использование этого объекта ничем не отличается от действий, выполняемых при помощи оснастки "Редактор локальной групповой политики". Соответственно, для этого объекта доступны оба узла групповых политик - "Конфигурация компьютера" и "Конфигурация пользователя".

Используя политику локального компьютера, запретим всем пользователям вашего локального компьютера открывать редактор системного реестра, а также использовать командную строку. Для этого выполните следующее:

  1. Откройте объект политики локального компьютера;
  2. Откройте узел Конфигурация пользователя\Административные шаблоны\Система;
  3. Откройте параметр "Запретить использование командной строки" и выберите опцию "Включить" и в раскрывающемся списке параметров команду "Да". При необходимости введите комментарий. Нажмите кнопку "Применить", а затем кнопку "Следующий параметр";
  4. В диалоговом окне настроек параметра "Запретить доступ к средствам редактирования реестра" выберите опцию "Включить" и в раскрывающемся списке параметров команду "Да".
  5. Нажмите на кнопку "ОК".

Перезагрузите компьютер для проверки параметров.

*

После перезагрузки, для того чтобы проверить результат настройки групповой политики локального компьютера, выполните следующие действия:

  1. Попробуйте открыть редактор системного реестра. Для этого нажмите на кнопку "Пуск", в поле поиска введите regedit , а затем нажмите на кнопку "Enter". Вместо открытия приложения вы увидите следующее предупреждение:

    *

  2. Попробуйте открыть командную строку. Для этого нажмите на кнопку "Пуск", в поле поиска введите Командная , а затем нажмите на кнопку "Enter". Сразу при открытии приложения вы увидите следующее предупреждение:

    *

Локальная групповая политика группы "Администраторы"

Из этого примера вы увидите, как действуют настройки объектов набора локальной групповой политики группы "Администраторы". Этот набор объектов действует только на те учетные записи, которые являются членами группы "Администраторы". В этом примере, используя локальную групповую политику группы "Администраторы добавьте в меню "Пуск" команду "Выполнить" и отключите "Windows Media Center". Для этого выполните следующие действия:

  1. Запустите объект локальной групповой политики группы "Администраторы";
  2. Разверните узел Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач;
  3. Откройте параметр "Добавить команду "Выполнить" в меню "Пуск"", в открывшемся диалоговом окне выберите опцию "Включить". При необходимости введите комментарий, затем нажмите на кнопку "ОК";
  4. Разверните узел Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Media Center;
  5. Откройте параметр "Не запускать Windows Media Center", в открывшемся диалоге выберите опцию "Включить". При необходимости введите комментарий, затем нажмите на кнопку "ОК".

Перезагрузите компьютер для проверки параметров.

*

После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики группы "Администраторы", войдите в систему под учетной записью, которая состоит в группе "Администраторы". Нажмите на кнопку "Пуск" для открытия меню. Как показано на следующем скриншоте, в меню появилась команда "Выполнить", причем, эта ссылка есть в меню "Пуск", независимо от того, установлен ли в диалоговом окне "Настройка меню "Пуск"" флажок на опции "Команда "Выполнить"" или нет.

*

Локальная групповая политика пользователей, не входящих в группу администраторов

Из этого примера вы узнаете, как можно настроить групповые политики для пользователей, которые не входят в группу "Администраторы". Для того чтобы выполнить действия, которые описаны в следующей процедуре, у вас должна быть учетная запись обычного пользователя. Способы создания учетных записей пользователей были расписаны в статье "Работа с учетными записями пользователей в Windows 7 - подробное руководство (Часть 1)". В этом примере, используя локальную групповую политику для пользователей, которые не входят в группу администраторы, отключим в браузере Internet Explorer вкладки "Дополнительно", "Безопасности", "Программы" и "Подключение", а также включим ClearType и анимацию для веб-страниц. Для этого выполните следующие действия:

  1. Запустите объект локальной групповой политики для пользователей, которые не входят в группу администраторы;
  2. Разверните узел Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером;
  3. Откройте параметр "Отключить вкладку "Безопасности"". В открывшемся диалоговом окне выберите опцию "Включить". При необходимости введите комментарий, затем нажмите на кнопку "ОК";
  4. Повторите эти действия для следующих параметров: "Отключить вкладку "Дополнительно"", "Отключить вкладку "Программы"" и "Отключить вкладку "Подключения"";
  5. Разверните узел "Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка "Дополнительно";
  6. Откройте параметр "Включить ClearType", в открывшемся диалоговом окне выберите опцию "Включить". При необходимости введите комментарий, затем нажмите на кнопку "ОК".
  7. Повторите эти действия для параметра "Показывать анимацию на веб-страницах".

Перезагрузите компьютер для проверки параметров.

После перезагрузки компьютера, для того чтобы проверить результат настройки групповой политики пользователей, не входящих в группу "Администраторы", войдите в систему под учетной записью, которая не состоит в группе "Администраторы". Откройте "Свойства обозревателя" веб-браузера Internet Explorer. Как видите на следующем скриншоте, вкладки, которые были отключены при помощи групповых политик не отображаются. Причем, открыв этот же диалог под учетной записью, которая входит в группу "Администраторы" все отключенные выше вкладки будут отображаться.

*

Локальная групповая политика для отдельного пользователя

Этот пример показывает способ настройки параметров групповой политики для определенного пользователя, который есть на вашем компьютере. В этом примере, мы укажем для пользователя конкретную визуальную тему и запретим изменять все параметры окна персонализации. Для этого выполните следующие действия:

  1. Выберите в диалоге "Поиск групповой политики" оснастки групповой политики консоли управления ММС любого пользователя, созданного на вашем компьютере;

    *

  2. Разверните узел Конфигурация пользователя\Административные шаблоны\Панель управления\Персонализация;
  3. Откройте параметр "Загрузить указанную тему". В открывшемся диалоговом окне выберите опцию "Включить". В текстовом поле "Путь к файлу темы" введите полный путь к установленной на компьютере теме, например: %USERPROFILE%\ AppData\Local\Microsoft\Windows\Themes\Australia\Australia.theme. При необходимости введите комментарий, затем нажмите на кнопку "ОК";
  4. Для параметров "Запретить изменение заставки", "Запретить изменение звуков", "Запретить изменение темы", "Запретить изменение фона рабочего стола" и "Запретить изменение стилей оформления окон и кнопок" выберите опцию "Включить";

Перезагрузите компьютер для проверки параметров.

После перезагрузки, зайдите в систему под учетной записью того пользователя, для которого вы изменяли параметры групповой политики. Зайдите в окно "Персонализация". Как видно на следующем скриншоте, под этой учетной записью у вас нет прав для изменения текущих настроек, причем у всех остальных учетных записей вашего компьютера на выполнение этих действия права остаются.

*

Удаление объектов локальной групповой политики

В некоторых случаях, перед вами может стоять необходимость удаления объектов локальной групповой политики. Вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики. Удалить их вы можете следующим образом:

  1. Войдите в систему под учетной записью, которая создавалась при инсталляции операционной системы;
  2. Откройте "Консоль управления MMC". Для этого нажмите на кнопку "Пуск", в поле поиска введите mmc , а затем нажмите на кнопку "Enter";
  3. Откроется пустая консоль MMC. В меню "Консоль" выберите команду "Добавить или удалить оснастку" или воспользуйтесь комбинацией клавиш Ctrl+M;
  4. В диалоге "Добавление и удаление оснасток" выберите оснастку "Редактор объектов групповой политики" и нажмите на кнопку "Добавить";
  5. Для того чтобы выбрать нужный объект групповой политики, в появившемся диалоге "Выбор объекта групповой политики" нажмите на кнопку "Обзор";
  6. В диалоге "Поиска объекта групповой политики" перейдите на вкладку "Пользователи", где из контекстного меню политики, которую нужно удалить выберите команду "Удалить объект групповой политики";
  7. В диалоге с предупреждением нажмите на кнопку "Да";

*

Заключение

В данной статье рассмотрен вопрос применения и настройки "Множественной локальной групповой политики". Множественная локальная групповая политика (MLGPO) является неким расширением для оснастки "Объекты локальной групповой политики" по отношению ко всем операционным системам, предшествующим Windows Vista. Используя инструкции данной статьи, вы научились открывать оснастку "Множественная локальная групповая политика", познакомились с примерами использования множественной локальной групповой политики. В описанных выше примерах вы узнали, как используется множественная локальная групповая политика для всех четырех ее объектов: политики локального компьютера, локальной групповой политики группы "Администраторы", локальной групповой политики пользователей, не входящих в группу администраторов, а также локальной групповой политики для отдельного пользователя. Ознакомившись с инструкцией удаления объектов локальной групповой политики, вы можете удалить любой из четырех существующих наборов объектов локальной групповой политики


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=23455