Страница 1 из 1

Применение групповых политик в рамках рабочей группы

СообщениеДобавлено: 29 апр 2009 12:53, Ср
Timka
Возникла необходимость организовать Сервер Терминалов в сети без домена. Решил воспользоваться групповыми политиками для настройки интерфейса Windows для пользователей удалённого рабочего стола. Проблема в том что групповые политики на локальном компьютере находящимся в сети без домена нельзя приминить к конкретному пользователю или группе пользователей(локальные). Пошарив в нете нашёл статью на сайте мелко-мягких

Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп.

Предложеные ими манипуляции исключают возможности непреминения групповых политик для 2 и более Администраторов, а также возможность состоять в иной группе(без применения на них групповых политик), кроме Администраторы для всех Администраторов компьютера. Если коротко - шляпа.
Решения оказалось простым и изящным :) Груповые политики находяться в %systemroot%\system32\GroupPolicy в папке Machine - политики применяеые к компьютеру(применяются до входа пользователя в систему), в папке User - применяемые соответственно к пользователям при входе в систему. Чтобы настроить интерфейс пользователя делаем: пуск->выполнить->gpedit.msc->Конфигурация пользователя->Административные шаблоны. Настраиваем интерфейс как нам нужно(изменения сразу или после выполения команды gpupdate видим на своём пользователе), главное не перестараться :) Далее заходим в %systemroot%\system32 и кликаем на папку GroupPolicy правой кнопкой->Общий доступ и безопасность->Безопасность->Дополнительно, кликаем 2 раза на Администраторы, в Разрешениях запрещаем:

Обзор папок/Выполнение файлов
Содержание папки/Чтение данных
Чтение атрибутов

и чтобы не потерять возможность редактирования прав Администраторами ставим разрешить:

Чтение разрешений
Смена разрешений
Смена владельца

Жмём ок, ставим глочку "Заменить разрешения для всех дочерних объектов..." жмём дадада, применить, ок. Теперь групповые политики не будут применяться к пользователям находящимся группе Администраторы, даже если они состоят в других группах, т.к. приоритет запрета доступа выше чем разрешение доступа в NTFS. Если нужно отредактировать групповые политики, меняем права на Полный доспуп, редактируем, и меняем права обратно.