Active Directory для Windows Server 2003

         

Наследование групповой политики и ее применение


Объекты GPO могут быть связаны с объектами сайтов, доменов и объектами OU в Active Directory. Групповые политики связываются только с этими контейнерами и не могут связываться с контейнерами Users или Computers.

По умолчанию параметры настройки групповой политики наследуются от контейнеров высокого уровня к контейнерам низкого уровня. Следовательно, групповые политики, назначенные пользователю или компьютеру, применяются при каждом запуске компьютера или при каждом входе пользователя в систему. Групповые политики применяются в следующем порядке.

1.       Local group policy (Локальная групповая политика). Первой всегда применяется локальная групповая политика.

2.       Site-level group policies (Групповые политики уровня сайта). Эти групповые политики связаны с объектом сайта в Active Directory.

3.       Domain-level group policies (Групповые политики уровня домена). Эти групповые политики связаны с объектом домена в Active Directory.

4.       OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня.

Иногда на любом из уровней Active Directory может применяться свыше одной групповой политики. В этом случае порядок их применения определяется порядком, в котором объекты GPO перечислены в административном окне снизу вверх. На рисунке 11-7 показаны три групповые политики, применяемые к OU. Сначала будет применяться Scripts Policy (Политика сценариев), затем - Desktop Policy (Политика рабочих столов), а далее - Office Installation Policy (Политика инсталляции офиса).

Рис. 11-7. Несколько групповых политик, связанных с одним и тем же контейнером, применяются в порядке расположения в списке, снизу вверх

Порядок применения групповых политик важен, если они изменяют одни и те же параметры настройки. Например, если объект GPO уровня домена удаляет команду Run со всех компьютеров, а объект GPO организационной единицы более низкого уровня добавляет команду Run, то команда Run будет доступна на всех компьютерах OU. Такой конфликт возникает, если две политики изменяют одну и ту же установку. Иуш объект GPO более высокого уровня может быть сконфигурирован для удаления команды Run, а объект GPO более низкого уровня — для удаления значка конфигурации с панели управления. Поскольку нет никакого конфликта между этими параметрами настройки, применятся обе настройки.

Большинство параметров настройки объекта GPO включает три опции конфигурации: Enabled (Включен), Disabled (Заблокирован) и Not Configured (He сконфигурировано). Если установлена опция Enabled, то независимо от того, какая групповая политика сконфигурирована, она будет применена. Если установлена опция Disabled, то независимо от того, какая групповая политика сконфигурирована, она будет заблокирована. Если установка была включена в объекте GPO, который применялся ранее, она все равно будет изменена на Disabled. Например, вы можете включить установку по удалению команды Run в объект GPO, связанный с OU высокого уровня. Затем вы блокируете установку по удалению команды Run в OU более низкого уровня, после чего команда Run будет доступна для всех пользователей в OU низшего уровня. Если установлено Not Configured, параметры настройки политики не изменятся, и будут поддерживаться установки, унаследованные от более высокого уровня.



Содержание раздела