Active Directory для Windows Server 2003

         

Модификация способа наследования групповых политик


Есть два способа изменить заданное по умолчанию наследование групповой политики. Первый вариант состоит в блокировании наследования политики на контейнерном уровне. Для этого щелкните правой кнопкой мыши на контейнере, в котором вы хотите изменить наследование, и выберите Properties (Свойства). Щелкните на вкладке Group Policy (Групповая политика) и отметьте флажок Block Policy Inheritance (Блокировать наследование политики) (см. рис. 11-8). Это означает, что параметры настройки групповой политики, унаследованные от контейнеров

более высокого уровня, будут блокированы. Опция блокировки наследования политики полезна, когда ваша политика должна применяться к большой группе пользователей и компьютеров в нескольких OU, но при этом вы не хотите применять ее к определенной группе пользователей. Типичным примером является сценарий, в котором всем пользователям в организации нужно, чтобы часть их рабочего стола (команда Run или редактор системного реестра) были заблокированы, а сетевым администраторам требуется полный доступ ко всем инструментальным средствам. В этом сценарии вы можете сконфигурировать такую групповую политику на уровне домена, которая блокирует часть инструментов рабочего стола на всех компьютерах, затем создать отдельную OU для учетных записей сетевых администраторов и блокировать наследование групповой политики на этом уровне.

Рис. 11 -8. Блокирование наследования групповой политики на уровне 0U

Предостережение. Одно из ограничений блокировки наследования групповых политик состоит в том, что после выбора блокировки все наследование групповой политики будет блокировано. Нет никакого способа выборочно блокировать наследование только определенных групповых политик.

Второй способ изменять заданное по умолчанию наследование групповых политик состоит в использовании опции No Override (He подменять). Эта опция используется для предписания применения групповой политики даже в тех контейнерах, в которых установлена опция блоки-

ровки наследования групповой политики. Чтобы сконфигурировать групповую политику, не подлежащую отмене, найдите контейнерный объект, с которым связана данная групповая политика, а затем откройте окно Properties (Свойства) этого контейнера. Выберите вкладку Group Policy, выберите политику группы, щелкните на кнопке Options и выберите опцию No Override (см. рис. 11-9).




Рис. 11-9. Конфигурирование опции No Override для групповой политики

Опция No Override может быть полезна, когда ваша групповая политика применяется ко всем пользователям независимо от того, где они расположены. Например, вы можете использовать групповые политики для управления антивирусным программным обеспечением на всех компьютерах-клиентах вашей организации. В этом случае нужно выбрать контейнер высокого уровня, содержащий все компьютеры вашего домена, и применить политику на этом уровне. Затем сконфигурируйте групповую политику опцией No Override, чтобы параметры настройки применялись ко всем компьютерам клиентам.

Опция No Override устанавливается в том месте, где объект GPO связывается с контейнером, а не в самом объекте GPO. Если вы связываете объект GPO с несколькими местами вашего домена и конфигурируете одну из связей с применением опции No Override, другие связи не будут сконфигурированы с этой опцией автоматически. Опция No Override устанавливается применительно к одному объекту GPO, т.е. ее установка на одном объекте GPO, связанном с OU, не затрагивает опцию No Override для других объектов GPO, связанных с этой же OU.

Примечание. Опция No Override заставляет применять параметры настройки групповой политики, даже если наследование блокировано. Параметры настройки уровня домена типа политики учетной записи и политики пароля применяются ко всем компьютерам и пользователям в домене. Блокировка наследования политики никак не влияет на эту политику.


Содержание раздела