Область действия групповых политик

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Область действия групповых политик

Сообщение UncleFather »

В каждой групповой политике есть "конфигурация компьютера" и "конфигурация пользователя". Эти конфигурации действуют для объектов AD (Active Directory) соответственно компьютеров и пользователей.

Так, например, "Default Domain Controller Group Policy" будет действовать на объекты "компьютер", точнее на контроллеры домена (потому что изначально в подразделении "контроллеры домена" есть только компьютеры (собственно, контроллеры домена)), поэтому, имеет смысл редактировать лишь "конфигурацию компьютера" этой групповой политики.

Если мы будем редактировать конфигурацию пользователя в "Default Domain Controller Group Policy", то это возымеет действие лишь на того пользователя, которого мы перенесем в подразделение "Контроллеры домена".

Политика "Default Domain Group Policy" будет действовать и на пользователей и на компьютеры, поскольку она относится к корню AD и воздействует на все вложенные подразделения (если, конечно, это явно не отменить).

Поэтому, при настройке групповых политик всегда смотрим:

  • если настраиваем политики подразделения, в котором есть только "пользователи", то меняем только "конфигурацию пользователя"

  • если настраиваем политики подразделения, в котором есть только "компьютеры", - то, соответственно, меняем только "конфигурацию компьютера".

Например, создаем подразделение "Пользователи офиса" с подчиненными подразделениями, в которых создаем новых пользователей. Создаем для него новую политику "Политика пользователей офиса" и правим в этой политике только "конфигурация пользователя".

Далее, создаем подразделение "Компьютеры офиса" с подчиненными подразделениями, в которые перемещаем объекты "компьютер" из подразделения "Domain computers". Создаем для этого нового подразделения новую политику "Политика компьютеров офиса" и правим в этой политике только "конфигурация компьютера".

Итак - "конфигурация компьютера" действует на объекты "компьютер", "конфигурация пользователя" - на объекты "пользователь".


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение