Отличия между полномочиями разделяемого доступа и полномочиями ntfs

Понятие разделяемых ресурсов применяется к накопителям (дискам) и директориям. Пока диск или папка не предоставлены для разделяемого доступа в сети, пользователи не могут видеть их или осуществлять к ним доступ. После предоставления какой-либо папки для разделяемого доступа в Windows Server 2003 каждый пользователь сети получает (по умолчанию) доступ по чтению ко всем файлам этой папки, ко всем вложенным папкам этой папки и т.д. После того, как диск или папка установлены для разделяемого использования, можно добавлять (или снимать) ограничения в форме полномочий разделяемого доступа (share permissions). Эти полномочия применяются только на уровне диска или папки, но не на уровне файлов, и ограничиваются вариантами разрешений (или запрещений) доступа Full Control (Полный доступ), Read (Чтение) и Change (Изменение).

Полномочия разделяемого доступа задают предел возможного диапазона доступа через сеть. Они не влияют на пользователя, который выполняет вход локально или на удаленный сервер. Полномочия разделяемого доступа — это единственные ограничения, доступные для азделяемых ресурсов на томе FAT.

На томах NTFS для папок задаются те же полномочия разделяемого доступа, как и для тома FAT, но, кроме этого, можно использовать другой уровень полномочий — полномочия NTFS.

Для полномочий NTFS используются списки управления доступом (ACL), чтобы ограничить доступ к ресурсам, и они могут быть присвоены только ресурсам на томе NTFS. Полномочия NTFS можно присваивать как файлам, так и папкам, и они применяются через сеть или локально.

Использование специальных разделяемых ресурсов

Кроме разделяемых ресурсов, создаваемых пользователем или администратором, система создает ряд специальных разделяемых ресурсов, которые нельзя модифицировать или удалять. Специальный разделяемый ресурс, который вы, скорее всего, видели, это ресурс ADMINS, которая появляется в виде С$, DS, Е$ и т.д. Эти разделяемые ресурсы позволяют администраторам подсоединяться к дискам, которые недоступны иным образом для разделяемого доступа.

Специальные разделяемые ресурсы существуют как часть установки операци¬онной системы. В зависимости от конфигурации компьютера могут присутствовать некоторые или все следующие разделяемые ресурсы (ни один из них нельзя модифицировать или удалить).

• ADMINS. Используется во время удаленного администрирования компьютера. Путь всегда соответствует местоположению папки, в которой установлена система Windows (то есть корневая папка [корень] системы). К этому ресурсу могут подсоединяться только члены групп Administrators, Backup Operators и Server Operators.

• буква_диска$. Корневая папка указанного диска. К этим разделяемым ресурсам на сервере Windows Server 2003 или Windows 2000 могут подсоединяться только члены групп Administrators, Backup Operators и Server Operators. На компьютерах с Windows ХР Professional и Windows 2000 Professional к этим разделяемым ресур¬сам могут подсоединяться только члены групп Administrators и Backup Operators.

• IРС$. Используется во время удаленного администрирования и в случае просмотра разделяемых ресурсов. Этот ресурс важен для связи, и его нельзя удалить.

• NETLOGON. Важен для всех контроллеров домена. Не удаляйте его.

• SYSVOL. Обязателен на всех контроллерах домена. Не удаляйте его.

• PRINTS. Ресурс, который поддерживает совместно используемые принтеры.

• FAXS. Разделяемая папка на сервере Windows 2003 Server, которая используется факс-клиентами во время отправки факса. Эта папка используется для хране¬ния разделяемых титульных страниц и для кэширования файлов.

Для подсоединения к неразделяемому диску на другом компьютере вам нужно выполнить вход с помощью учетной записи, обладающей необходимыми правами. Используйте адресное поле в любом окне и введите нужный адрес, используя следующий синтаксис:

\\имя_компьютера\[буква_диска]$

Чтобы подсоединиться к корневой папке системы (папка, в которой установлена система Windows) на другом компьютере, используйте следующий синтаксис:

\\имя_компьютера\admin$

Разделяемые ресурсы, полномочия и файловые системы

В разделах, отформатированных с помощью FAT, вы можете ограничивать использование файлов только на уровне папок, только при доступе через сеть и только если эта папка является разделяемым ресурсом. На тех, кто выполняет вход локально, разделяемые ресурсы не оказывают влияния. Очевидно, что это безопасность только «по названию», а не реальная защита.

С другой стороны, на томе NTFS папки могут предоставляться как разделяемые ресурсы, а также дополнительно ограничиваться для доступа с помощью полномочий.

Чтобы ограничить доступ к папке, можно использовать полномочия разделяемого доступа к папке или полномочия NTFS, но не оба вида полномочий. Наиболее практичный способ — это предоставить папку для разделяемого доступа, чтобы группа Everyone имела полномочия разделяемого доступа Full Control, и затем ограничить доступ к этой папке с помощью полномочий NTFS.

Задание папок для разделяемого использования

Папки могут задаваться для разделяемого использования в составе процесса конфигурирования компьютера как файл-сервера. Для текущего администрирования разделяемых папок используйте оснастку Shared Folder (Разделяемая папка) в консоли Microsoft Management Console (ММС).

Задание разделяемых папок на файл-сервере

При настройке файл-сервера разделяемые ресурсы могут быть определены в составе этого процесса. Выберите мастер Configure Your Server Wizard (Конфигурирование вашего сервера) из папки Administrative Tools и используйте параметры для роли файл-сервера (мастер Configure Your Server Wizard). В конце этого процесса автоматически запускается мастер Share a Folder Wizard. Выполните следующие шаги, чтобы задать настройки для одной или нескольких разделяемых папок.

1. Введите путь к разделяемой папке или щелкните на кнопке Browse, чтобы создать новую папку.

2 В диалоговом окне Name, Description, and Settings (Имя, описание и параметры введите имя этой папки как разделяемого ресурса (поле Share name) — это имя будут видеть пользователи - и описание содержимого папки (поле Description).

3. Щелкните на кнопке Change (Изменить), чтобы задать, будет ли доступно для автоомного использования содержимое этой папки, и как оно будет использоваться.

4. Задайте полномочия для этого разделяемого ресурса и щелкните на кнопке Finish (Готово).

Что означают полномочия

В Windows Server 2003 включен набор стандартных полномочий, которые являются комбинациями определенных видов доступа. Отдельные полномочия — это Full Control (Полный доступ), Modify (Изменение), Read & Execute (Чтение и выполнеие), List Folder Contents (Список содержимого папки), Read (Чтение) и Write (Запись).

Как действуют полномочия

Если вы не предпринимали никаких действий, файлы и папки внутри разделяемой папки будут иметь те же полномочия, что и данный разделяемый ресурс. Полномочия по папкам и файлам могут присваиваться:

• группам и отдельным пользователям в данном домене;

• глобальным группам, универсальным группам и отдельным пользователям из доменов, которым доверяет данный домен;

• специальным группам, таким как Everyone и Authenticated Users.

Имеются следующие важные правила для полномочий:

• по умолчанию папка наследует полномочия от своей родительской папки. Файлы наследуют свои полномочия от папки, в которой они находятся;

• пользователи могут осуществлять доступ к папке или файлу, только если им были предоставлены полномочия на этот доступ или они являются членами группы, которой были предоставлены соответствующие полномочия;

• полномочия обладают накопительным свойством, но установка Deny (Запретить) подавляет все остальные полномочия. Например, если группа Technical Writers имеет полномочия Read для доступа к папке, а группа Project — полномочия Modify для доступа к той же папке, и пользователь Alex является членом обеих групп, то он получает полномочия, которые имеют более высокий уровень доступа, то есть Modify. Но если полномочия для группы Technical Writers изменены явным образом на Deny, то Alex не сможет использовать эту папку несмотря на членство в группе Project, имеющей, казалось бы, более высокий уровень доступа;

• пользователь, который создает файл или папку, является владельцем этого объекта и может назначать полномочия для управления доступом;

• администратор может получать право владения любым файлом или папкой;

• члены групп Administrators, Backup Operators и Server Operators могут получать владение и передавать право владения.

Вопросы наследования

Чтобы еще больше усложнить структуру полномочий, существует два типа полномочий — явные и наследуемые. Явные полномочия — это полномочия, которые вы задаете для папок при их создании. Наследуемые полномочия — это полномочия, получаемые от родительского объекта дочерним объектом. По умолчанию при создании вложенной папки она наследует полномочия родительской папки.

Если вы не хотите, чтобы дочерние объекты наследовали полномочия родительского объекта, то можете блокировать наследование на родительском или дочернем уровне. Здесь существенно, на каком уровне вы блокируете наследование. При блокировании на родительском уровне ни одна из вложенных папок не наследует полномочия. При выборочном блокировании на дочернем уровне некоторые папки наследуют полномочия, а некоторые нет.

Чтобы блокировать наследование полномочий для файла или папки, щелкните правой кнопкой на папке, выберите пункт Properties и затем щелкните на вкладке Security. Щелкните на вкладке Advanced (Дополнительно) и сбросьте флажок Allow Inheritable Permissions From The Parent To Propagate To This Object And All Child Objects (Разрешить наследование полномочий от родителя этим объектом и всеми дочерними объектами).

Если поля для флажков в колонках Allow (Разрешить) или Deny (Запретить) затенены (недоступны), это означает, что данные полномочия наследуются от родительского объекта. Если эти поля затенены и в них установлены флажки (рис. Ю.6), то некоторые полномочия наследуются, а другие полномочия были добавлены. Существует три способа изменить эту ситуацию:

• сбросить флажок Allow Inheritable Permissions From the Parent To Propagate To This Object And All Child Objects. После этого вы можете вносить изменения в полномочия или изменять состав пользователей или групп в списке;

• изменить полномочия для родительской папки;

• выбрать противоположные полномочия — Allow или Deny, — чтобы переопределить наследуемые полномочия.

Использование оснастки Shared Folders

Для повседневного администрирования используйте оснастку Shared Folders, чтобы управлять разделяемыми ресурсами на одной или нескольких машинах. Используя консоль Shared Folder (рис. 10.4), вы можете создавать новые разделяемые папки, отменять разделяемый доступ, изменять полномочия, видеть открытые файлы и открытые сеансы, а также конфигурировать «теневые» копии.

Раскройте папку Shares, чтобы увидеть список разделяемых папок, а также следующую информацию о каждой папке:

• путь к соответствующему разделяемому ресурсу;

• тип соединения (Windows, Macintosh, NetWare);

• количество пользователей, подсоединенных к этому ресурсу;

• описание ресурса.

Раскройте папку Sessions (Сеансы) в дереве консоли, чтобы увидеть следующую информацию о пользователях, которые подсоединены на данный момент:

• имя пользователя и имя компьютера этого пользователя;

• тип соединения (Windows, Macintosh, NetWare);

• количество, файлов, открытых пользователем в данном разделяемом ресурсе;

• время, прошедшее с момента установления соединения;

• время, прошедшее с последнего момента, когда пользователь инициировал какое-либо действие;

• подсоединен ли данный пользователь как гость.

Раскройте папку Open Files (Открытые файлы) в дереве консоли, чтобы получить список файлов, открытых на данный момент. В правой панели вы увидите имя файла, имя того, кто открыл его, тип соединения, количество блокировок по данному файлу (если они есть) и полномочия разделяемого доступа, которые были предоставлены, когда этот файл был открыт.

Щелкните правой кнопкой на Shares в дереве консоли и выберите пункт New Share (Создать разделяемый ресурс), чтобы запустить мастер Share a Folder Wizard. Чтобы отменить разделяемый доступ к ресурсу, щелкните правой кнопкой на разделяемой папке в правой панели и выберите в контекстном меню пункт Stop Sharing (Прекратить разделяемый доступ).

Конфигурирование полномочий доступа к папке

Прежде чем предоставить разделяемый доступ к папке на томе NTFS, задайте все полномочия по этой папке. Задавая полномочия для папки, вы задаете, тем самым, полномочия для всех файлов и подпапок этой папки.

Чтобы назначить полномочия для папки, щелкните правой кнопкой на этой папке в окне Explorer и выберите в контекстном меню пункт Properties. Затем щелкните на вкладке Security. Чтобы удалить из списка отдельного пользователя или группу, просто выделите это имя и щелкните на кнопке Remove.

Чтобы добавить их к списку с полномочиями, щелкните на кнопке Add. Появится диалоговое окно Select Users, Computers, Or Groups (Выбор пользователей, компьютеров или групп). Затем щелкните на кнопке ОК.

Назначение полномочий для файлов

Полномочия для отдельных файлов назначаются так же, как и для папок, но есть некоторые особенности:

• Полномочия надо предоставлять группам а не отдельным пользователям.

• Лучше создавать группы на уровне домена вместо присвоения полномочий локальным группам.

Право владения и как оно действует

Как вы уже знаете, только члены группы Administrators и еще нескольких избранных групп могут предоставлять и изменять полномочия. Исключением является ситуация, когда пользователь является владельцем соответствующей папки или файла. Каждый объект раздела NTFS имеет владельца, а владелец — это пользователь, который создал этот файл или папку. Владелец управляет доступом к этому файлу или папке и может запрещать доступ к ним любому пользователю.

Кто является владельцем папки можно посмотреть в свойствах папки на вкладке

Security. Если пользователь удалит группу Administrators из списка имеющих доступ к этой папке, то Администратор не будет иметь к ней доступ.

Конечно, не существует ничего такого, что было бы полностью вне возможностей администраторов, поэтому администратор может щелкнуть правой кнопкой на этой папке и выбрать в контекстном меню пункт Properties. После щелчка на вкладке Security в диалоговом окне Security Properties нельзя внести никаких изменений. Но если администратор щелкнет на кнопке Advanced, а затем на вкладке Owner (Владелец), то он сможет изменить текущего владельца папки на администратора.

Независимо от статуса папки администратор может стать ее владельцем. Изменение владения папкой не означает автоматического предоставления группе Administrators доступа к содержимому этой папки, но владение позволяет читать и изменять полномочия. Пользуясь этим, администратор может изменить полномочия и получить доступ к содержимому папки.

Ознакомление с групповыми политиками

Во многих сетях малого и среднего масштаба группы, встроенные в Windows Server 2003, могут, хотя и с некоторыми поправками, обеспечивать вполне адекватный уровень безопасности. Но в больших сетях и в сетях с особыми требованиями настройки безопасности могут оказаться слишком жесткими для некоторых групп и слишком ослабленными для других. В таких ситуациях групповые политики могут давать администраторам степень контроля, которая детализирована в любой нужной им степени. Кроме того, групповые политики могут снизить потери, когда пользователи случайно удаляют файлы конфигурации системы, «теряют» важные папки или вводят вирус в сеть. Средство Group Policy (Групповая политика) позволяет администратору компоновать элементы рабочего стола пользователя, включая программы, которые доступны пользователям, программы на рабочем столе пользователя и опции меню Start.

Group Policy Object Editor (Редактор объектов Group Policy) — это средство для выбора опций, а результаты выбора содержатся в соответствующем объекте Group policy (GPO).

Компоненты Group Policy

Group Policy состоит из нескольких конфигурируемых компонентов. Первый из них- административные шаблоны (Administrative Templates), которые устанавливают политику на основе реестра. Administrative Templates предоставляет информацию политик для элементов, которые находятся внутри папки Administrative Templates в дереве консоли редактора Group Policy Object Editor. К другим основным компонентам Group Policy относятся:

• Security Settings (Параметры безопасности). Конфигурирует параметры безопасности для пользователей, компьютеров и доменов;

• Scripts (Сценарии). Задает сценарии для запуска и завершения работы компьютеров, а также для событий входа и выхода пользователей;

• Folder Redirection (Перенаправление папок). Помещает в сеть специальные папки, такие как My Documents или указанные папки приложений;

• Software (Программное обеспечение). Назначает приложения пользователям. (Более подробно о публикации программного обеспечения в сети см. в гл. 25.)

Все компоненты Group Policy можно редактировать с помощью Group Policy Editor.

Объекты Group Policy

Настройки Group Policy хранятся в объекте типа Group Policy (GPO). Объекты GPO хранятся на уровне домена, и каждый из них ассоциирован с определенным объектом Active Directory — сайтом, доменом, контроллером домена или организационной единицей (OU). Один или несколько GPO можно применять к сайту, домену, контроллеру домена или OU, а один GPO может быть связан с несколькими сайтами, доменами, контроллерами домена и OU.

Объекты GPO хранят информацию в двух местах: в структуре папок, которая называется шаблоном Group Policy (GPT), и в контейнере Group Policy (GPC) в Active Directory.

GPT имеется в папке SYSVOL всех контроллеров домена. Этот шаблон содержит информацию о политике программного обеспечения, о развертывании файлов и приложений, о сценариях и параметрах безопасности. Контейнер GPC содержит свойства GPO, включая информацию о классах Active Directory, относящуюся к развертыванию приложений. Информация, хранящаяся в GPC, изменяется редко.

Примечание: GPO, который применяется локально, хранится в локальной папке компьютера %SystemRoot%\system32\Grouppolicy. Компьютер может иметь только одну локальную групповую политику.

Шаблоны Group Policy. При создании GPO автоматически создается соответствующая структура папок GPT в папке %SystemRoot%\SYSVOL\имя домена\policies . Фактическое имя папки для GPT является глобально уникальным идентификатором (GUID) для GPO.

Групповые политики по умолчанию

При установке Active Directory создаются два нелокальных объекта GPO. Объект Default Domain Policy (Политика домена по умолчанию) связан с данным доменом и влияет на все компьютеры и всех пользователей в этом домене. Объект Default Domain Controllers Policy (Политика контроллеров домена по умолчанию) связан с организационной единицей Domain Controllers (Контроллеры домена) и применяется к контроллерам домена в этой организационной единице.

Групповые политики наследуются и накапливаются. Если вы связываете объект GPO с каким-либо контейнером Active Directory, эта групповая политика применяется ко всем компьютерным и пользовательским учетным записям в этом контейнере.

Управление групповыми политиками:

Групповые политики создаются и модифицируются с помощью целого ряда способов в зависимости от типа групповой политики, которую вы хотите реализовать.

В таблице описаны различные способы применения Group Policy:

Чтобы применить Group Policy к	Выполните следующие шаги:
Локальному компьютеру	Только для политики безопасности выберите пункт Local Security Policy (Локальная политика безопаснос­ти) из папки Administrative Tools. На машине с Windows 2000 Professional или Windows ХР Professional откройте панель управления, щелкните на Administrative Tools и выберите пункт Local Security Policy.
Другому компьютеру	Запустите ММС и добавьте оснастку Group Policy Object Editor. В диалоговом окне Select Group Policy Object (Вы­бор объекта Group Policy) найдите нужный вам объект Group Policy.
Домену	Запустите оснастку Active Directory Users and Computers. В дереве консоли щелкните правой кнопкой на данном домене и выберите в контекстном меню пункт Properties. Щелкните на вкладке Group Policy Policy.
Организационной единице (OU)	Запустите оснастку Active Directory Users and Computers. В дереве консоли шелкните на данной OU и выберите в контекстном меню пункт Properties. Щелкните на вклад­ке Group Policy.
Сайту	Запустите оснастку Active Directory Sites and Services (Сай­ты и службы Active Directory). В дереве консоли щелкни­те на данном сайте и выберите в контекстном меню пункт Properties. Щелкните на вкладке Group Policy. Group Policy.Group Policy.

Порядок наследования

Как правило, параметры Group Policy передаются от родительских контейнеров дочерним контейнерам. Это означает, что политика, применяемая к родительскому контейнеру, применяется также ко всем контейнерам (включая пользователей и компьютеры), которые находятся внутри этого родительского контейнера в иерархии дерева Active Directory. Но если вы назначаете конкретно для какого-либо дочернего контейнера групповую политику, которая противоречит политике родительского контейнера, то политика дочернего контейнера замещает (переопределяет) политику родительского контейнера.

Если эти политики не противоречат друг другу, то могут реализоваться обе политики. Например, если политика родительского контейнера требует, чтобы значок какого-либо приложения появлялся на рабочем столе пользователя, в то время как политика дочернего контейнера требует появления значка другого приложения, то появятся оба значка. Отключенные параметры политик наследуются как отключенные. Параметры политики, которые не сконфигурированы в родительском контейнере, не наследуются.

Порядок реализации

Групповые политики (GPO) обрабатываются в следующем порядке.

1. Объект локальной групповой политики.

2. Объекты GPO, связанные с сайтом, в административно заданном порядке.

3. Доменные GPO в административно заданном порядке.

4. Объекты GPO организационных единиц (OU) от самой крупной до минимальной организационной единицы (от родительской к дочерней OU).

Отсюда видно, что сначала обрабатывается локальная политика, а политика OU, членом которой является пользователь или компьютер, обрабатывается последней.

Переопределение наследования

Для изменения порядка наследования имеется два параметра. Один из них — No Override (Не переопределять). При задании этого параметра дочерние контейнеры не могут переопределять установки любого GPO более высокого уровня. Этот параметр не задается по умолчанию, и его нужно включить в каждом GPO, где это нужно. Чтобы задать параметр No Override, выполните следующие шаги.

Откройте объект GPO, который вы хотите администрировать

Щелкните правой кнопкой на этом GPO и выберите в контекстном меню пункт No Override). Пометка (галочка) появится рядом с этим GPO в колонке No Override.

Щелкните на кнопке ОК.

Второй параметр - Block Policy Inheritance (Блокировать наследование политики). Этот параметр задается флажком в окне Properties данного GPO. При установке этого флажка дочерний контейнер не наследует политики родительских контейнеров. При конфликте этих двух параметров приоритет всегда отдается параметру No Override.

Примечание: Явно заданные полномочия имеют приоритет по сравнению с наследуемыми полномочиями — даже при наследовании полномочий со значением Deny (Запретить). Поэтому при явно заданном доступе к объекту наследуемые полномочия со значением Deny не препятствуют доступу.

Определение области действия GPO

Объект Group Policy (GPO) применяется ко всем пользователям и компьютерам в контейнере Active Directory, с которым связан данный GPO. Неизбежно всегда бу­дут пользователи и компьютеры в контейнере, к которым не должен применяться какой-либо определенный GPO. Кроме того, политики для определенного GPO применяются только к пользователям, которые имеют полномочия типа Read (Чте­ние) и Apply Group Policy (Применение групповой политики) для этого GPO. Что­бы выполнить фильтрацию в применении GPO, вы можете создать группы безопас­ности и назначить полномочия Read и Apply Group Policy только для групп, к которым применяется данный GPO.

Для фильтрации области действий GPOдоступа (Access Control List [ACL] Editor), позволяющий разрешить или запретить определенным группам доступ к этому GPO. Чтобы задать тип доступа, выполните следующие шаги.

1. Откройте GPO, который вы хотите администрировать, в редакторе Group Policy Editor. (См. табл. Выше)

2. Щелкните правой кнопкой на этом GPO и выберите в контекстном меню пункт Properties.

3. Щелкните на вкладке Security

4. Добавьте или удалите группы либо измените параметры. По окончании щелкните несколько раз на кнопках ОК., чтобы закрыть все открытые окна.

Создание объекта групповой политики (GP0)

При создании домена Active Directory создаются также политика домена по умолчанию и политика Domain Controllers по умолчанию. Возможно, что после некоторых разумных корректировок, отвечающих вашей ситуации, вам больше ничего не потребуется. Но если вам потребуется создать собственный объект GPO, вы можете выполнить следующие шаги.

• Запустите Active Directory Users and Computers (для GPO домена, контроллеров домена или OU) или Active Directory Sites and Services (для GPO сайтов).

• Щелкните правой кнопкой на объекте, для которого вы хотите создать GPO, и выберите в контекстном меню пункт Properties.

• Щелкните на вкладке Group Policy и затем щелкните на кнопке New.

• Введите имя нового GPO и щелкните на одной из следующих кнопок:

• Add (Добавить), чтобы добавить ссылку на новую политику;

• Edit (Изменить), чтобы открыть новый GPO в Group Policy Editor;

• Options (Параметры), чтобы задать параметр No Override или блокировать GPO;

• Delete (Удалить), чтобы удалить GPO совсем или из данного списка. Если выбрать вариант Remove The Link From The List (Удалить ссылку из списка), то данный GPO остается в Active Directory, но больше не применяется к определенному контейнеру Active Directory;

• Properties (Свойства), чтобы задать фильтрацию для GPO с помощью групп безопасности.

• По окончании щелкните на кнопке ОК.

Работа в Group Policy Editor

Выбрав Default Domain Policy в дереве консоли Group Policy, вы увидите, что Group Policy Editor отображает только два узла: Computer Configuration (Конфигурация компьютеров) и User Configuration (Конфигурация пользователей). После щелчка на этих узлах вы увидите расширения для Software Settings (Настройки программного обеспечения), Windows Settings (Настройки Windows) и Administrative Templates (Административные шаблоны).

Используйте папки Computer Configuration, чтобы выполнить настройку политик для компьютеров сети. Эти политики начинают действовать при включении компьютера и запуске операционной системы. Установки в этих папках применяются к любому пользователю, который подсоединяется к данному компьютеру. Например, если в зале для обучения имеются машины, для которых вы хотите установить жесткие условия, то именно в папках Computer Configuration вы можете задать эти установки.

Узел User Configuration содержит установки для настройки сред или задания политик для пользователей сети. Политики User Configuration начинают действовать, когда определенный пользователь входит в сеть.

Отключение ветви с GPO

Если GPO содержит целый узел внутри User Configuration или Computer Configuration, который не сконфигурирован, отключите этот узел, чтобы избежать обработки этих установок. Это сокращает время запуска и входа для всех пользователей, к которым относится данный GPO. Чтобы отключить узел, выполните следующие шаги.

1. В Group Policy Object Editor щелкните правой кнопкой на данном GPO и выберите в контекстном меню пункт Properties.

2. Во вкладке General выберите для данного GPO отключение установок User Configuration или Computer Configuration.

3. По окончании щелкните на кнопке ОК. Отключенные установки не будут больше влиять на любой контейнер Active Directory, с которым связан данный GPO.

Поиск связей с групповыми политиками

При большом числе объектов GPO в сети важно следить за связями между объектами GPO и контейнерами Active Directory, такими как домены или OU. Чтобы выяснить, какие ссылки существуют для определенного объекта GPO, откройте Group Policy Object Editor, щелкните правой кнопкой на этом GPO и выберите в контекстном меню пункт Properties. Щелкните на вкладке Links (Связи) и затем щелкните на кнопке Find Now (Найти), чтобы увидеть список ссылок на данный GPO.

Обновление групповой политики

Изменения политики выполняются незамедлительно, но они не распространяются по клиентам сразу. Клиентские компьютеры запрашивают политику, когда входят в сеть.

Чтобы принудительно обновить политику для локального компьютера используется команда:

gpupdate [/target:{computer | user}] /force

Используйте параметр Target, если вы хотите обновить установки политик толь­ко для компьютеров или только для пользователей.

Использование результирующего набора политик (RSoP)

Средство Resultant Set of Policy (RSoP — результирующий набор политик) — это важ­ное дополнение к Group Policy, поскольку создание и конфигурирование объектов Group Policy (GPO) иногда сопряжено с непредсказуемыми результатами, разоб­раться в которых очень трудно. RSoP собирает информацию по всем существую­щим политикам, чтобы определять действующие на данный момент политики и порядок, в котором они применяются.

RSoP имеет два режима работы: режим регистрации (logging mode) и режим пла­нирования (planning mode). В режиме планирования RSoP помогает создавать сце­нарий «что, если», чтобы вы могли тестировать влияние новой политики или оче­редность применения политик. В режиме регистрации RSoP может сообщать вам, какие политики применяются к определенному пользователю, и может помогать в обнаружении политик, которые следует удалить или исправить.