Возможности многоуровневой локальной групповой политики в Windows 7
Привет всем ценителям операционной системы Windows!!!
В Windows XP локальная групповая политика (ЛГП) позволит изменить системные и пользовательские параметры настройки, чтобы расширить или ограничить доступ к элементам системы, зависит какую степень свободы вы хотите предоставить пользователям компьютера. Но настройки действуют для всех пользователей и администраторов.Для управления настройками в рамках одной системы для отдельных пользователей, применяется в Windows 7 многоуровневая локальная групповая политика: • 1
уровень - стандартная ЛГП, позволяет менять настройки политики, они действовать будут для всех пользователей, даже администратора;
• 2уровень - ЛГП для администраторов и неадминистраторов, позволяет управлять настройками для этих 2 групп пользователей отдельно;
• 3 уровень - групповая политика для отдельных пользователей, позволяет устанавливать только для конкретных учетных записей определенные настройки. Перечисленные политики обрабатываются в зависимости от уровня последовательно. Первой применяется ЛГП, затем политика для администраторов и неадминистраторов, и политика для конкретных пользователей. Предпочтительнее та политика, которая обрабатывается последней, при конфликтующих настройках. Например, настройки остаются включенными, если ЛГП, применяемая первой, отключит определенные настройки, ну а политика для конкретного пользователя их активирует, т.к. Windows 7 пользовательскую политику обрабатывает последней.
Если есть несколько пользовательских политик, и только одна из них активирует определенные настройки, то настройки будут отключены для учетных записей, для которых действует только ЛГП. Создаем консоль управления Сначала создаем новую консоль управления, в нее добавим объекты групповой политики. Открываем меню "Пуск", вводим "mmc" (без кавычек) в строке поиска, жмите Enter и подтверждайте выполнение операции в окне контроля учетных записей. Откройте меню "Файл" в появившемся окне и выберите "Добавить или удалить оснастку". В окне "Добавление и удаление оснасток" найдем и выделим "Редактор объектов групповой политики", жмите "Добавить". Создаем консоль управления , чтобы воспользоваться многоуровневой ЛГП.
В окне "Добавление и удаление оснасток" находим и выделяем "Редактор объектов групповой политики". В окне Мастера групповой политики выбран "Локальный компьютер" по умолчанию . Это стандартная ЛГП - 1 уровень. Чтоб ее добавить, жмите "Готово". 1ый уровень многоуровневой групповой политики – ЛГП либо политика локального компьютера. Вернемся в окно добавления оснастки, снова выделяем "Редактор объектов групповой политики" и жмите "Добавить". В появившемся окне мастера жмите кнопку "Обзор", чтоб вызвать диалоговое окно "Поиск объекта групповой политики".
Открываем вкладку "Пользователи", выделяем группу "Не администраторы" и жмите "OK", а затем "Готово". Можем выбирать группу пользователей и отдельные учетные записи в диалоговом окне "Поиск объекта групповой политики". Затем повторите описанные действия, чтобы добавить политики с помощью окна "Поиск объекта групповой политики" . Это политики третьего уровня. Жмите "OK", чтоб закрыть диалоговое окно "Добавление и удаление оснасток". Сохраняем консоль управления с каким-нибудь именем. Настройка политик Пример Ну теперь, когда мы с вами разобрались и вы имеете представление, о том как работает многоуровневая локальная групповая политика, хочу привести вам пример ее применения.
Предположим, у нас имеется два пользователя одного компьютера, Дмитрий и Вениамин . Так как мы хотим настройки изменить только для Дмитрия и Вениомина, начинать необходимо с конфигурации политики для не-администраторов, но не с локальной политики, которая для всех пользователей действует. Если надо изменить формат представления Панели управления по умолчанию, разворачивайте этот раздел:" Политика "Локальный компьютер / Не администраторы / Административные шаблоны и Панель управления , затем выделяйте политику " Всегда открывать все элементы панели управления при открытии ее ". Дважды кликните по ней, выбирайте опцию " Enabled " ( либо иначе говоря " Включить "), после чего кликайте по " OK ".
Для рядовых пользователей политики настраиваем разделе по названием " Не администраторы ". Чтоб Дмитрию к настройкам панели задач и так же меню " Пуск " сделать ограниченным доступ, необходимо развернуть такой раздел " Политика "Локальный компьютер / Дмитрий / Административные шаблоны / Панель управления / Меню "Пуск" - панель задач" " (Local Computer / Dmitriy Policy / User Configuration / Administrative Templates / Start Menu - Taskbar,) и включите либо отключите необходимые политики для опций, которые не доступны должны быть Дмитрию. Чтоб Вениамину оставить неограниченный доступ ко всем настройкам меню "Пуск" и панели задач, сохраняйте параметры по умолчанию
. Включайте отдельные политики для каждой из учетных записей , чтоб пользователям ограничить доступ к определенным настройкам. Для того, чтоб завершить операции новую консоль сохраните и закройте ее. Теперь для Дмитрия и Вениамина при последующем входе в систему действовать будут разные настройки в соответствии с политиками для отдельных учетных записей и не-администраторов .
На этом все всем пока и удачи...
Существование таких политик - прямое подтверждение того, что персональные компьютеры до сих не являются "персональными" 🙂 А как же иначе, если до сих существуют разные уровни доступа? Видимо, этим самым подразумевается, что за компьютером будет работать один очень продвинутый пользователь и несколько просто пользователей. Существование записей "для гостей" компьютера является исключением, подтверждающим правило. А по факту - сисадмин и простой юзер...
В глубинах виндовз можно найти очень много недокументированных и незадекларированных возможностей. Одна из них - применение групповых политик на управление объектами. Кроме этого, в Windows 7 можно включить еще так называемый "режим бога". При включение данного режима управлять политиками не получилось 🙁
групповые политики скорее нужны в корпоративной среде нежели дома. Для домашнего использования ими можно пользоваться в случае создания пользователя ограниченного по всем правам, чтобы уменьшить, например, влияние вируса, трояна при проникновении на ПК.