Заметки о Windows и других программных продуктах Microsoft...

Применение групповых политик (часть 2)

Применение групповых политик (часть 2)

Продолжая тему применения групповых политик, начатую в предыдущей статье, поговорим об особенностях применения политик в зависимости от объекта применения. Как вам наверняка известно, объект групповой политики (GPO) может быть применен как к пользователю, так и к компьютеру. Поэтому у каждого GPO имеются два независимых раздела:

раздел User Configuration содержит параметры, применяемые к пользователю, а раздел Computer Configuration — параметры, применяемые к компьютеру.

стандартная GPO

 

Каждый из разделов не зависит друг от друга и при необходимости может быть отключен в свойствах GPO. Отключение неиспользуемого раздела позволяет уменьшить трафик, что может быть актуально при большом количестве применяемых политик.

отключение конфигурации пользователя и\или компьютера в GPO

Приоритет и порядок применения

Применение политик для пользователя и компьютера несколько отличаются. Политики компьютера применяются при загрузке операционной системы и влияют на всех пользователей данного компьютера. Политики пользователя применяются при входе пользователя в систему и, соответственно, влияют только на этого пользователя.

Набор настроек для пользователя и для компьютера достаточно сильно отличается, но все же можно найти одинаковые настройки, встречающиеся в обоих разделах. И если говорить о приоритете, то политики компьютера являются более глобальными и имеют больший приоритет, чем политики пользователя.

Чтобы убедиться в этом, проведем небольшой эксперимент. В качестве подопытных будут рабочая станция wks1 и пользователь Kirill, к которым и будут применяться соответствующие политики.

Для начала зайдем на wks1, запустим Internet Explorer и проверим, что у него присутствует так называемая Панель команд (Command bar).

IE до применения политик

 

Теперь берем объект групповой политики GPO2, назначенный на домен, и в разделе User Configuration\Administrative Templates\Windows Components\Internet Explorer\Toolbars переводим параметр «Hide the Command bar» в состояние «Disabled». Это означает, что панель команд должна быть видна в окне IE.

включение настроек на уровне пользователя

 

Снова  заходим в систему, запускаем IE и убеждаемся в том, что панель на месте, а в свойствах IE пункт меню, отвечающий за скрытие панели команд, неактивен. Это значит, что данный параметр управляется с помощью групповых политик.

результат применения пользовательских настроек в GPO

 

Итак, политика пользователя отработала, время применить политику компьютера. Снова берем GPO2 и в разделе Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Toolbars устанавливаем параметр «Hide the Command bar» в состояние «Enabled». Эта настройка имеет противоположный эффект и означает, что панель команд в IE должна быть скрыта.

включение настроек GPO на уровне компьютера

 

Еще раз заходим на wks1, форсируем применение групповых политик и открываем окно IE. Как видите, теперь панель команд скрыта, при этом в свойствах IE соответствующий пункт меню по прежнему неактивен. Это говорит о том, что политика компьютера успешно отработала и переопределила настройки политики пользователя.

результат применения настроек компьютера в GPO

Замыкание групповой политики

Понятно, что GPO, содержащие настройки пользователя, должны применяться к OU, в которых находятся пользователи. И наоборот, GPO с настройками для компьютеров должны быть назначены на OU, эти самые компьютеры содержащие. И если взять GPO, в котором находятся параметры пользователя, и попытаться применить его к OU, в котором находятся компьютеры, то ничего не произойдет, т.к. у настроек просто не будет объекта применения.

Однако иногда бывают ситуации, к пользователю необходимо применить настройки, зависящие от расположения компьютера. К примеру, у вас имеется группа терминальных серверов, для которых определены особые настройки безопасности. Соответственно пользователи, работающие на этих серверах, должны получить настройки, отличные от своих обычных настроек.

В данной ситуации требуется применить настройки пользователя к группе компьютеров. И поможет в этом режим замыкания групповой политики (Loopback Processing mode).

Для включения этого режима надо открыть нужный GPO, перейти в раздел Computer Configuration\Administrative Template\System\Group Policy, активировать параметр «Configure user Group Policy Loopback Processing mode» и выбрать нужный режим работы:

• Merge (слияние) — настройки пользователя объединяются с настройками компьютера, при этом список настроек компьютера добавляется в конец списка настроек пользователя. Если происходит конфликт настроек, то настройки компьютера имеют больший приоритет и переопределяют настройки пользователя;
• Replace (замена) — в этом режиме настройки пользователя не используются, к пользователю применяется только список настроек для компьютера.

Примечание. При использовании Loopback Processing mode в режиме Merge политика отрабатывает дважды. Об этом надо помнить, особенно при использовании logon-скриптов.

замыкание групповой политики

 

Для наглядности возьмем GPO3, назначенный на OU Workstations. Как следует из названия, в данном OU находятся только рабочие станции, пользователей там нет.  Откроем GPO3 на редактирование и в разделе User Configuration установим для пользователя в качестве рисунка рабочего стола изображение loopback.png. Затем перейдем в раздел Computer Configuration\Administrative Template\System\Group Policy и включим «Configure user Group Policy Loopback Processing mode» в режиме «Merge».

настройка замыкания групповой политики пользователя

 

Теперь заходим на рабочую станцию wks1, находящуюся в OU Workstations и видим, что обои рабочего стола сменились, т.е. к пользователю применилась политика GPO3, назначенная на компьютеры.

результат работы замыкания групповой политики

 

На этом вторую часть статьи можно считать законченной. А в третьей, заключительной части разговор пойдет о различных способах фильтрации групповых политик.

 
 
Комментарии
Денис

Спасибо за статьи по GPO.
Только так и не понял какие политики применяются дважды при замыкании в режиме слияния?

Денис

Вроде понял. Политики, которые «нацелены» на компьютеры примят свою пользовательскую часть (если не отключена и не пустая) при логоне пользователя. Поправьте если ошибся.

В этом и есть смысл замыкания — применить пользовательские политики к группе компьютеров. При слиянии сначала к пользователю применяется политика, назначенная на компьютер, а затем — назначенная на пользователя. Поэтому и получается, что для пользователя политики отрабатывают дважды.

Спасибо за статьи.Понравился лаконичный и в то же время насыщенный информацией подход.

Александр

Огонь, за 10 мин из этих статей узнал больше , чем за много часов видео на ютубе.

Попал на эту статью пытаясь как раз разобраться, каким образом применяется групповые политики к конкретным компьютерам и пользователям. Но понятнее не стало, так как в статье указано, что политика, определяющая User Configuration, но слинкованная с OUшкой, содержащей компьютеры, работать не будет, если только в ней не определена настройка Loopback Processing Mode.
Но у меня именно так и работает.

Ответить