Заметки о Windows и других программных продуктах Microsoft...

Настройка множественной локальной групповой политики

Настройка множественной локальной групповой политики

В операционных системах Windows есть такое противоречивое понятие как локальная групповая политика, т.е. групповая политика, воздействующая только на локальный компьютер. Локальные политики можно применять при отсутствии домена, например для настройки отдельных компьютеров или в небольших одноранговых сетях.

Раньше одним из основных недостатков использования локальных политик являлась невозможность их применения к конкретным пользователям. Так в Windows XP локальные политики применяются ко всем без исключения пользователям компьютера, в том числе и входящим в группу локальных администраторов. Однако начиная с Vista появился функционал Множественные локальные групповые политики (Multiple Local Group Policy Objects, MLGPO), позволяющий разделять настройки для различных пользователей или групп.

Воспользуемся этой возможностью и в качестве примера запретим всем пользователям, кроме администраторов, доступ к съемным устройствам.

Специальной оснастки для множественных групповых политик не существует, и чтобы воспользоваться этим функционалом надо проделать некоторые действия. Сначала нажимаем Win+R и вводим команду mmc. Затем в открывшейся консоли открываем пункт меню Файл — Добавить или удалить оснастку.

добавление новой оснастки MMC

 

Из списка оснасток слева выбираем «Редактор объектов групповой политики» и жмем на кнопку Добавить.

выбор оснастки MMC

 

В окне мастера групповой политики надо указать объект, на который будут воздействовать политики. По умолчанию выбран объект Локальный компьютер, соответственно политики будут воздействовать на всех пользователей этого компьютера. Для изменения объекта жмем кнопку Обзор.

мастер групповой политики

 

Переходим на вкладку Пользователи и выбираем из списка группу Не администраторы. Таким образом политики будут воздействовать только на пользователей, не входящих в группу локальных администраторов. Это самый простой способ разделить действие политик, впрочем при желании можно создать отдельную политику для каждого пользователя.

выбор объекта локальной групповой политики

 

Завершив выбор объекта групповой политики жмем кнопку Готово.

завершение добавления осначтки MMC

 

Открывается оснастка редактора групповых политик. Обратите внимание, что поскольку объектом являются пользователи, то для редактирования доступен только узел Конфигурация пользователя. Открываем пункт Административные шаблоны\Система\Доступ к съемным запоминающим устройствам и включаем параметр «Съемные запоминающие устройства любых классов: Запретить любой доступ».

изменение локальной групповой политики

 

Теперь если зайти на компьютер с обычной учетной записью пользователя (не входящей в группу Администраторы), то при попытке доступа к любому съемному устройству хранения будет выдана ошибка. При этом администраторы компьютера спокойно могут продолжать пользоваться своими любимыми флешками.

результат выполнения политики

Для удаления созданную политики надо в консоли MMC пройти до выбора объекта, кликнуть на нем правой клавишей и выбрать пункт Удалить объект групповой политики.

удаление объекта локальной групповой политики

 

С помощью множественных локальных групповых политик можно довольно гибко настраивать пользовательское окружение для каждого конкретного пользователя компьютера. Однако у локальных политик остался еще один важный недостаток, а именно невозможность централизованного управления. Поэтому, по возможности, все же лучше использовать доменные групповые политики, они гораздо удобнее в использовании.

 
 
Комментарии
Алексей

Приветствую. Подскажите: существует ли механизм кооптирования локальной групповой политики на учетную запись (си) или группы? Допустим политику Васи скопировать на политику Пети (чтоб не создавать новую) Можно ли как то применить локальную политику к группе, а не только к «топорным» не админы?

Алексей

Пока ждал ответа — разобрался в первой части вопроса самостоятельно. Оказалось все просто — запускаем консоль с уже созданной политикой, а далее идем в добавление оснастки и опять выбираем «Редактор объектов групповой политики». Только уже в этом случае указываем уже другой объект, на который будут воздействовать политика По группам — судя по всему ни как.

Все верно. С локальными группами особо не развернешься, тут нужен домен.

Leave a Reply to Алексей