Продовжуючи тему застосування групових політик, розпочату в попередній статті, поговоримо про особливості застосування політик в залежності від об'єкта застосування. Як вам напевно відомо, об'єкт групової політики (GPO) може бути застосований як до користувача, так і до комп'ютера.Тому у кожного GPO є два незалежних розділу:

розділ User Configuration містить параметри, що застосовуються до користувача, а розділ Computer Configuration - параметри, що застосовуються до комп'ютера.

Кожен з розділів не залежить один від одного і при необхідності може бути відключений в властивості GPO.Відключення невикористаного розділу дозволяє зменшити трафік, що може бути актуально при великій кількості застосовуваних політик.

Пріоритет і порядок застосування

Застосування політик для користувача і комп'ютера дещо відрізняються. Політики комп'ютера застосовуються при завантаженні операційної системи і впливають на всіх користувачів даного комп'ютера.Політики користувача застосовуються при вході користувача в систему і, відповідно, впливають тільки на цього користувача.

Набір налаштувань для користувача і для комп'ютера досить сильно відрізняється, але все ж можна знайти однакові настройки, що зустрічаються в обох розділах.І якщо говорити про пріоритет, то політики комп'ютера є більш глобальними і мають більший пріоритет, ніж політики користувача.

Щоб переконатися в цьому, проведемо невеличкий експеримент. У якості піддослідних будуть робоча станція wks1 і користувач Kirill, до яких і будуть застосовуватися відповідні політики.

Для початку зайдемо на wks1, запустимо Internet Explorer і перевіримо, що у нього є так звана Панель команд (Command bar).

Тепер беремо об'єкт групової політики GPO2, призначений на домен, і в розділі User Configuration \ Administrative Templates \ Windows Components \ Internet Explorer \ Toolbars переводимо параметр «Hide the Command bar» в стан «Disabled».Це означає, що панель команд повинна бути видна у вікні IE.

Знову заходимо в систему, запускаємо IE і переконуємося в тому, що панель на місці, а у властивостях IE пункт меню, який відповідає за приховування панелі команд, неактивний. Це означає, що даний параметр управляється за допомогою групових політик.

Отже, політика користувача відпрацювала, час застосувати політику комп'ютера. Знову беремо GPO2 і в розділі Computer Configuration \ Administrative Templates \ Windows Components \ Internet Explorer \ Toolbars встановлюємо параметр «Hide the Command bar» в стан «Enabled». Ця установка має протилежний ефект і означає, що панель команд в IE повинна бути прихована.

Ще раз заходимо на wks1, форсуємо застосування групових політик і відкриваємо вікно IE. Як бачите, тепер панель команд прихована, при цьому у властивостях IE відповідний пункт меню і раніше не працює. Це говорить про те, що політика комп'ютера успішно відпрацювала і перевизначила настройки політики користувача.

Замикання групової політики

Зрозуміло, що GPO, що містять настройки користувача, повинні застосовуватися до OU, в яких знаходяться користувачі. І навпаки, GPO з настройками для комп'ютерів повинні бути призначені на OU, ці самі комп'ютери містять. І якщо взяти GPO, в якому знаходяться параметри користувача, і спробувати застосувати його до OU, в якому знаходяться комп'ютери, то нічого не станеться, т.к. у налаштувань просто не буде об'єкта застосування.

Однак іноді бувають ситуації, до користувачеві необхідно застосувати настройки, які залежать від розташування комп'ютера. Наприклад, у вас є група термінальних серверів, для яких визначені особливі настройки безпеки.Відповідно користувачі, що працюють на цих серверах, повинні отримати настройки, відмінні від своїх звичайних налаштувань.

В даній ситуації потрібно застосувати настройки користувача до групи комп'ютерів. І допоможе в цьому режим замикання групової політики (Loopback Processing mode).

Для включення цього режиму треба відкрити потрібний GPO, перейти в розділ Computer Configuration \ Administrative Template \ System \ Group Policy, активувати параметр «Configure user Group Policy Loopback Processing mode» та вибрати потрібний режим роботи:

• Merge (злиття) - налаштування користувача об'єднуються з настройками комп'ютера, при цьому список налаштувань комп'ютера додається в кінець списку налаштувань користувача.Якщо відбувається конфлікт налаштувань, то настройки комп'ютера мають більший пріоритет і скасовують налаштування користувача;
• Replace (заміна) - в цьому режимі настройки користувача не використовуються, до користувача застосовується тільки список налаштувань для комп'ютера.

Примітка.При використанні Loopback Processing mode в режимі Merge політика відпрацьовує двічі. Про це треба пам'ятати, особливо при використанні logon-скриптів.

Для наочності візьмемо GPO3, призначений на OU Workstations. Як випливає з назви, в даному OU знаходяться тільки робочі станції, користувачів там немає.Відкриємо GPO3 на редагування і в розділі User Configuration встановимо для користувача в якості малюнка робочого столу зображення loopback.png. Потім перейдемо в розділ Computer Configuration \ Administrative Template \ System \ Group Policy і включимо «Configure user Group Policy Loopback Processing mode» в режимі «Merge».

Тепер заходимо на робочу станцію wks1, що знаходиться в OU Workstations і бачимо, що шпалери на робочий стіл змінилися, т.е. до користувача застосувати політика GPO3, призначена на комп'ютери.

На цьому другу частину статті можна вважати закінченою. А в третій, заключній частині розмова піде про різні способи фільтрації групових політик.