Правила групповой политики могут быть назначены для различных объектов: локальный компьютер, сайт, домен, любое организационное подразделение, причем к каждому такому объекту может быть привязано несколько политик.

Примечание В Windows 2008/Windows 7 групповая политика может применяться раздельно для пользователей из группы администраторов (локальная политика администратора) и остальных пользователей (неадминистративная локальная политика).

В разных политиках один и тот же параметр может быть определен с отличающимися значениями. Например, в связи со спецификой обрабатываемой информации администратор подразделения может потребовать использования более строгих правил создания паролей, чем те, которые заданы администратором домена. Какие правила действуют при разрешении подобных ситуаций?

Очередность применения политик. Политики применяются в соответствии с иерархической структурой организации (структурой службы каталогов). Сначала используется локальная политика, а потом последовательно применяются политики с самого верхнего структурного уровня до самого нижнего (от общего к частному). При наличии на одном уровне нескольких политик, они применяются по очереди снизу вверх списка (самая верхняя политика в списке будет применена на данном уровне последней). В результате последовательность применения политик будет выглядеть примерно так:

1. Локальная групповая политика компьютера по умолчанию;

2. Неадминистративная или административная локальная политика пользователя (если имеется - рис. 6.2);

Множественные объекты групповой политики 3

Рис. 6.2. Множественные объекты групповой политики 3. Локальная политика пользователя (если имеется);

4. Групповые политики домена по иерархии контейнеров (сайт, домен, подразделение и т. п.).

Разрешение конфликтов политик. Значение параметра, регулируемого одной политикой, может противоречить аналогичному значению, но в другой политике, также применяемой к объекту. При наличии конфликтующих значений будет использован параметр, задаваемой следующей по очереди политикой. На практике это соответствует применению политики подразделения - "непосредственного начальника". Если существует конфликт параметров политики компьютер и пользователь одного уровня, то обычно больший вес имеет параметр, заданный для компьютера.

В случае необходимости администраторы могут устанавливать для политик признаки запрета перезаписи и/или обязательного значения параметра. Если политика описана как не допускающая изменения параметров, то ее настройки будут иметь преимущество и не смогут быть изменены значениями следующей применяемой политики. Администратор может также указать, что значения политики не должны наследоваться от политики более высокого уровня. В этом случае "отсекаются" настройки политик, которые применялись до данного уровня.

Примечание Если возникает конфликт требований "не переписывать" и "не наследовать", то преимущество имеет установка "не переписывать". Фактически это означает, что администратор подразделения более высокого уровня всегда сможет применить свои настройки.

Групповые политики в различных версиях операционных систем | Самоучитель системного администратора | Где хранятся и когда применяются групповые политики


Самоучитель системного администратора



Новости за месяц

  • Ноябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс