Заметки сисадмина » Настройка множественной локальной групповой политики

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Настройка множественной локальной групповой политики

В операционных системах Windows есть такое противоречивое понятие как локальная групповая политика, т.е. групповая политика, воздействующая только на локальный компьютер. Локальные политики можно применять при отсутствии домена, например для настройки отдельных компьютеров или в небольших одноранговых сетях.

Раньше одним из основных недостатков использования локальных политик являлась невозможность их применения к конкретным пользователям. Так в Windows XP локальные политики применяются ко всем без исключения пользователям компьютера, в том числе и входящим в группу локальных администраторов. Однако начиная с Vista появился функционал Множественные локальные групповые политики (Multiple Local Group Policy Objects, MLGPO), позволяющий разделять настройки для различных пользователей или групп.

Воспользуемся этой возможностью и в качестве примера запретим всем пользователям, кроме администраторов, доступ к съемным устройствам.

Специальной оснастки для множественных групповых политик не существует, и чтобы воспользоваться этим функционалом надо проделать некоторые действия. Сначала нажимаем Win+R и вводим команду mmc. Затем в открывшейся консоли открываем пункт меню Файл — Добавить или удалить оснастку.

Из списка оснасток слева выбираем «Редактор объектов групповой политики» и жмем на кнопку Добавить.

В окне мастера групповой политики надо указать объект, на который будут воздействовать политики. По умолчанию выбран объект Локальный компьютер, соответственно политики будут воздействовать на всех пользователей этого компьютера. Для изменения объекта жмем кнопку Обзор.

Переходим на вкладку Пользователи и выбираем из списка группу Не администраторы. Таким образом политики будут воздействовать только на пользователей, не входящих в группу локальных администраторов. Это самый простой способ разделить действие политик, впрочем при желании можно создать отдельную политику для каждого пользователя.

Завершив выбор объекта групповой политики жмем кнопку Готово.

Открывается оснастка редактора групповых политик. Обратите внимание, что поскольку объектом являются пользователи, то для редактирования доступен только узел Конфигурация пользователя. Открываем пункт Административные шаблоны > Система > Доступ к съемным запоминающим устройствам и включаем параметр «Съемные запоминающие устройства любых классов: Запретить любой доступ».

Теперь если зайти на компьютер с обычной учетной записью пользователя (не входящей в группу Администраторы), то при попытке доступа к любому съемному устройству хранения будет выдана ошибка. При этом администраторы компьютера спокойно могут продолжать пользоваться своими любимыми флешками.

Для удаления созданную политики надо в консоли MMC пройти до выбора объекта, кликнуть на нем правой клавишей и выбрать пункт Удалить объект групповой политики.

С помощью множественных локальных групповых политик можно довольно гибко настраивать пользовательское окружение для каждого конкретного пользователя компьютера. Однако у локальных политик остался еще один важный недостаток, а именно невозможность централизованного управления. Поэтому, по возможности, все же лучше использовать доменные групповые политики, они гораздо удобнее в использовании.

Leave a Reply