Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют
группы безопасности.
Они не могут быть связаны с GPO, но с помощью вкладки
Безопасность
окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.
Примечание 1
Примечание 1
Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности.
Группы дистрибуции
(distribution groups) для этого не подходят.
Для ограничения влияния настроек групповой политики:
1.
В правом подокне окна оснастки
Групповая политика
укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.
2.
В появившемся контекстном меню выберите команду
Свойства.
3.
В окне свойств объекта групповой политики перейдите на вкладку
Безопасность.
4.
Нажмите кнопку
Добавить
и добавьте нужную группу.
5.
Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке
Применение групповой политики
флажок установлен в позиции
Разрешить,
влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке
Применение групповой политики
флажок необходимо установить в позиции
Запретить
(Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.
Примечание 2
Примечание 2
Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на
контейнеры
Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на
группы.
Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.