Применение групповых политик в рамках рабочей группы

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
Timka
Сообщения: 7
Зарегистрирован: 04 фев 2008 13:39, Пн
Откуда: 74rus

Применение групповых политик в рамках рабочей группы

Сообщение Timka »

Возникла необходимость организовать Сервер Терминалов в сети без домена. Решил воспользоваться групповыми политиками для настройки интерфейса Windows для пользователей удалённого рабочего стола. Проблема в том что групповые политики на локальном компьютере находящимся в сети без домена нельзя приминить к конкретному пользователю или группе пользователей(локальные). Пошарив в нете нашёл статью на сайте мелко-мягких

Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп.

Предложеные ими манипуляции исключают возможности непреминения групповых политик для 2 и более Администраторов, а также возможность состоять в иной группе(без применения на них групповых политик), кроме Администраторы для всех Администраторов компьютера. Если коротко - шляпа.
Решения оказалось простым и изящным :) Груповые политики находяться в %systemroot%\system32\GroupPolicy в папке Machine - политики применяеые к компьютеру(применяются до входа пользователя в систему), в папке User - применяемые соответственно к пользователям при входе в систему. Чтобы настроить интерфейс пользователя делаем: пуск->выполнить->gpedit.msc->Конфигурация пользователя->Административные шаблоны. Настраиваем интерфейс как нам нужно(изменения сразу или после выполения команды gpupdate видим на своём пользователе), главное не перестараться :) Далее заходим в %systemroot%\system32 и кликаем на папку GroupPolicy правой кнопкой->Общий доступ и безопасность->Безопасность->Дополнительно, кликаем 2 раза на Администраторы, в Разрешениях запрещаем:

Обзор папок/Выполнение файлов
Содержание папки/Чтение данных
Чтение атрибутов

и чтобы не потерять возможность редактирования прав Администраторами ставим разрешить:

Чтение разрешений
Смена разрешений
Смена владельца

Жмём ок, ставим глочку "Заменить разрешения для всех дочерних объектов..." жмём дадада, применить, ок. Теперь групповые политики не будут применяться к пользователям находящимся группе Администраторы, даже если они состоят в других группах, т.к. приоритет запрета доступа выше чем разрешение доступа в NTFS. Если нужно отредактировать групповые политики, меняем права на Полный доспуп, редактируем, и меняем права обратно.

[img]http://i015.radikal.ru/0802/f8/2a31d9c33793.gif[/img]