Создание собственной консоли MMC для групповой политики
Чтобы вы могли управлять групповыми политиками, вам следует вручную добавить компонент, создав собственную MMC. Этот процесс аналогичен созданию MMC для Active Directory. Щелкните кнопку "Start", выберите "Run" и введите в коне Open "mmc". into the Open window. Откроется пустое окно MMC. Из меню Console выберите
Add/Remove Snap-in. Откроется окно Add/Remove Snap-in.
Щелкните Add, и в окне Add Standalone Snap-in появится список самостоятельных компонентов. Выберите Group Policy. Щелкните OK и теперь можете выбрать объект политики Local Computer, или можно щелкнуть кнопку Browse для выбора в локальном домене.
Эту консоль вы можете сохранить под каким-нибудь именем, тогда она автоматически добавится в список Administrative Tools. Щелкните OK для открытия компонента Group Policy, который вы только что создали, и можете приступать к настройке пользовательского окружения.
Обратите внимание, что по умолчанию установки для Computer
объявлены как
"Not defined.". Это означает, что при применении политики они будет игнорироваться. Дважды щелкните на названии и затем привяжите вашу политику к контейнеру, к которому вы хотите ее применять. Наилучший способ освоить групповые политики - это пробовать все делать самим. Если политика не работает или делает не то, что требовалось, просто удалите ее.
Мы уже упомянули, что политики могут применяться как локально, так и не локально. В следующем примере мы добавим три компонента в консоль MMC групповых политик. Мы будем использовать политику Local Computer Policy, объект политики новой группы New Group Policy Object (созданной как новый объект политики для домена kbeta.com вместо использования политики по умолчанию для домена (Default Domain Policy), а также компоненты Active Directory Users and Computers для демонстрации наследования.
Столбец "Policy" определяет политику. В этом примере вы обращаем внимание на установку Password Policy. Local Setting отображает установку по умолчанию для истории паролей (0), максимального срока (0), минимальной длины пароля (0) и сложности (Disabled).
В следующем примере мы увидим, что изменится после применения политики к домену с разными настройками Password Policy. Local Settings остались теми же, но Effective Settings прняли значения, которые мы присвоили домену.
Во всех случаях (за исключением, которое мы упомянули ранее), политики домена применяются до применения локальных политик.
Это позволяет адинистраторам сделать некоторые настройки обязательными сковзь весь домен. Эти настройки будут применяться к службам, настройкам регистра, правам к файлам и папкам.
Чтобы подробнее разобраться с настройками политик, посмотрим на установки для пользователя. Это можно сделать, открыв компонент User Configuration | Administrative Templates | Windows Components | System, мы увидим единственную опцию "Run Only Allowed Windows Applications".
Это рекомендуемая установка позволяет защитить вашу систему. Большинству клиентов требуется доступ к небольшому числу приложений, и совершенно необязательно давать права ко всему рабочему столу. Для включения ограничений вам следует добавить необходимые приложения, и применить эту политику к контейнеру группы. Ваши корпоративные пользователи будут использовать свои рабочие столы и нужные приложения, к которым вы разрешили доступ, в то время как сервер будет защищен от нарушителей.
Существует много таких ограничений, некоторые из них могут применяться к "внутренним" или корпоративным пользователям, например, запрет команды Run, вывод "Logoff", и даже запрет на изменение своей домашней веб-страницы.
Внимание
Установка "Run Only Allowed Windows Applications" не дает железной защиты от запуска приложений. Она запрещает запуск приложений только из Windows Explorer. Это не предотвращает запуск приложений из Панели Задач, с командной строки или других источников. Если вы включили эту установку, запретите также использование командной строки ( "Disable the Command Promp"). Проверьте также права доступа ко всем чувствительным EXE-файлам.
