Управление на местните групови политики в Vista, Windows IT Pro

Настройките за защита и други конфигурационни настройки за компютри, които не са в домейн на Windows Active Directory (AD), като споделени тестови системи, библиотечни павилиони и демонстрационни работни станции, могат да бъдат зададени с помощта на Правилата за локален компютър.

Настройките за защита и други конфигурационни настройки за компютри извън домейна на Windows Active Directory (AD), като споделени тестови системи, библиотечни павилиони и демонстрационни работни станции, могат да бъдат зададени чрез Правила за локален компютър. Един от основните недостатъци на дефинирането на тези настройки в Правилата за локален компютър в Windows преди пускането на Windows Vista е, че само една политика може да се приложи към системи, които не са свързани с домейн, и тази политика се отнася за всички потребители в тази система ... Следователно администраторите, които трябва да влязат в системата и да управляват компютър без ограничения, трябва да преодолеят определени трудности, за да отменят настройките, приложими за обикновените потребители.

В среда на Vista обаче можете да работите с множество локални GPO и това ви позволява да осигурите по-голяма гъвкавост в настройките за сигурност и конфигурация при управление на системи, които не са част от домейна на AD. Нека да разгледаме как Vista се справя с множество локални GPO и как да зададете различни настройки за всеки потребител в локалната система. Имайте предвид, че в контекста на тази статия думата "политика" означава Локална групова политика, а не групова политика на AD, освен ако в текста не е посочено друго.

управление

Множество местни групови политики

В системите на Windows преди Vista е реализиран само един обект на Local Group Policy - Local Computer Policy. Този обект съдържа настройки както за компютъра, така и за потребителите. Обектът Local Policy Policy (известен също като Local Group Policy) съществува в Vista и може да се използва по същия начин, както в Windows XP и Windows 2000. Например в Vista обектът Local Group Policy може да се използва за дефиниране на настройки, което ще важи за всички потребители на тази система.

Но Vista предлага и по-гранулирани инструменти. От една страна, можете да дефинирате локална групова политика, която съдържа както потребителски, така и компютърни настройки, а от друга, можете да дефинирате политики като Правила за локална групова политика и Администраторска локална групова политика; и двете съдържат само потребителски настройки. Можете също така да създадете произволен брой локални групови правила за определени потребители. Тези правила се прилагат за локални потребителски акаунти и съдържат само потребителски настройки. Имайте предвид, че само една политика може да бъде приложена към потребител наведнъж и Vista автоматично изчислява коя политика трябва да се приложи към потребител въз основа на членството в локалната група на потребителя. Например, ако акаунтите не принадлежат към групата на локалните администратори, Vista ще приложи Правилата за неадминистраторска локална група към тези акаунти.

Обработка на местни групови политики

В обобщение, администраторът може да създаде много локални GPO в Vista, така че не би трябвало да е изненадващо, че редът, в който се прилагат местните GPO, има голямо значение. Както при груповите политики на AD, има специфична йерархия на обработка: Първо се прилага локална групова политика. След това идва Администраторска локална групова политика или Администраторска локална групова политика. И не на последно място се прилагат правилата, дефинирани специално за определен потребител. Последната от обработените политики има предимство пред всички останали.