Проектирование доменов и развертывание Active Directory

Ограничение влияния настроек групповой политики


Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют

группы безопасности.

Они не могут быть связаны с GPO, но с помощью вкладки

Безопасность

окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.

Примечание 1


Примечание 1

Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности.

Группы дистрибуции

(distribution groups) для этого не подходят.

Для ограничения влияния настроек групповой политики:



1.

В правом подокне окна оснастки

Групповая политика

укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.

2.

В появившемся контекстном меню выберите команду

Свойства.

3.

В окне свойств объекта групповой политики перейдите на вкладку

Безопасность.

4.

Нажмите кнопку

Добавить

и добавьте нужную группу.

5.

Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке

Применение групповой политики

флажок установлен в позиции

Разрешить,

влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке

Применение групповой политики

флажок необходимо установить в позиции

Запретить

(Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.

Примечание 2


Примечание 2

Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на

контейнеры

Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на

группы.

Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.



Содержание раздела