1.6. Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Например, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку«Игры»в меню«Пуск». Для этого выполните следующие действия:
Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
Откройте свойства параметра политики «Не запускать Windows Media Center»(рисунок 14) и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например,«В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение»и нажмите на кнопку«ОК».
Рисунок 14. Изменение групповых политик для созданного объекта
Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»»и«Удалить ссылку «Игры» из меню «Пуск»»из узлаКонфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
Закройте редактор управления групповыми политиками.
1.7. Связывание объектов gpo
Для правильного управления вашей организации одного лишь создания объектов GPO недостаточно, так как объект групповой политики – это только набор параметров настроек конфигурации пользователя или компьютера, которые обрабатываются расширениями клиентской стороны (Client-Side Extension - CSE). Для правильного управления клиентами, объекты групповых политик должны быть настроены на определенные параметры политик и связаны с доменом, сайтом или подразделением Active Directory. Также можно указать определенную группу или пользователей, предназначенных для области применения указанного GPO.
Необходимо помнить, что объект групповой политики, который связан с сайтом, влияет на все компьютеры в указанном сайте независимо от домена, которому принадлежат ваши компьютеры. В связи с этим, для того чтобы применить указанные настройки объектов групповых политик к множеству доменов в лесу, можно связать объекты GPO с сайтом. Такие объекты будут храниться на контроллерах домена. Для создания и привязки объектов групповых политик, у вашей доменной учетной записи должны быть соответствующие права. По умолчанию, за создание и управление объектов GPO отвечают только пользователи, которые входят в группы администраторов домена, администраторов предприятия и владельцев-создателей объектов групповой политики.
Для того чтобы связать существующий объект групповой политики, выполните следующие действия:
Откройте консоль «Управление групповой политикой»;
Выберите подразделение, домен или сайт, для которого будет создана связь с существующим объектом групповой политики;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики»;
В диалоговом окне «Выбор объекта групповой политики»(рисунок 15) выделите объект GPO, который хотите привязать к своему подразделению и нажмите на кнопку«ОК».
Рисунок 15. Диалоговое окно «Выбор объекта групповой политики»
Также у вас есть возможность привязать к домену, сайту или подразделению еще не существующий объект групповой политики. В этом случае, помимо связи вам также предстоит создание нового объекта GPO. Для этого выполните следующие действия:
Откройте консоль «Управление групповой политикой»;
Выберите подразделение, домен или сайт, для которого будет создан и привязан новый объект групповых политик;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создать объект групповой политики в этом домене и связать его…»;
В диалоговом окне «Новый объект групповой политики»введите название нового объекта, например,«Ограничения доступа к медиа приложениям»и нажмите на кнопку«ОК»;
После нажатия на кнопку «ОК»объект групповой политики будет создан вместе со связью. Для этого объекта нужно будет еще настроить определенную конфигурацию, нажав на нем правой кнопкой мыши и из контекстного меню выбрав команду«Изменить.
Один объект групповой политики можно одновременно связать с несколькими подразделениями, доменами или сайтами. Если вы измените конфигурацию связанного объекта групповой политики, все изменения будут применяться для указанной вами области действия GPO. Связь объекта групповой политики обозначена небольшой стрелочкой на значке объекта групповой политики. Настройки конфигурации объектов групповых политик не применяются к тем пользователям или компьютерам вашей организации, на которые не распространяется область действия объектов групповых политик. Область действия GPO – это совокупность пользователей и компьютеров, к которым применяются параметры GPO.
Начальная область действия объекта групповой политики назначается при привязке данного объекта к указанному контейнеру. Для того чтобы увидеть контейнеры, к которым привязан существующий объект, выберите данный объект групповой политики и перейдите на вкладку «Область» (рисунок 16).
Рисунок 16. Область действия объекта групповой политики
Можно просмотреть все измененные параметры политик для конкретного объекта групповой политики. Для этого выполните следующие действия:
В консоли управления групповой политикой выберите объект групповой политики;
Перейдите на вкладку «Параметры» (рисунок 17);
Рисунок 17. Параметры объекта групповой политики
В отобразившемся отчете разверните параметры политик, которые хотите просмотреть. После нажатия на ссылку «Показать все», будут отображены все измененные параметры данного объекта GPO;
Можно сохранить данный отчет для дальнейшего изучения или анализа. Для этого нажмите правой кнопкой мыши на отчете и из контекстного меню выберите команду «Сохранить отчет». В диалоговом окне«Сохранение отчета объекта групповой политики»выберите папку, в которую хотите сохранить отчет, в поле«Имя файла»введите название отчета (по умолчанию название отчета совпадает с наименованием объекта GPO) и нажмите на кнопку«Сохранить». Отчет можно сохранять как с расширением HTML, так и XML.