Фильтрация применения групповой политики
Третий способ изменения наследования групповых политик состоит в фильтрации применений групповых политик с помощью групп Active
Directory. По умолчанию при создании групповой политики она применяется ко всем пользователям и компьютерам в контейнере. Рассмотрите вкладку Security (Безопасность) для недавно созданной групповой политики. Как показано на рисунке 11-10, вкладка Security для всех объектов GPO сконфигурирована так, что группа Authenticated Users (Удостоверенные пользователи) имеет разрешения Read (Чтение) и Apply Group Policy (Применение групповой политики). Поэтому все удостоверенные пользователи, включая и компьютеры, и пользователей, будут затронуты этой политикой.
Можно изменить воздействие групповой политики на компьютер или пользователя, модифицируя установку разрешения Apply Group Policy для учетных записей. Для этого сначала удалите группу Authenticated Users с вкладки Security или очистите флажок Apply Group Policy. Затем добавьте соответствующие учетные записи к списку управления доступом (ACL) и предоставьте им разрешения Read и Apply Group Policy. Можете изменить разрешения, добавляя какого-либо участника безопасности, но наилучшая практика состоит в том, чтобы всегда использовать группы Active Directory вместо учетных записей индивидуальных пользователей или компьютеров.
Рис. 11-10. Конфигурирование вкладки Security(Безопасность) в окне Properties (Свойства) объекта GPO для изменения области применения объекта GPO
Совет. Можно использовать группы для фильтрации применения групповых политик, но нельзя применять групповые политики к группам. Например, если вы связываете групповую политику с контейнером, который содержит глобальную группу, но не содержит учетные записи пользователей, являющихся членами глобальной группы, групповые политики будут неэффективны. Пользовательские и компьютерные учетные записи должны находиться в контейнерном объекте, чтобы применялась групповая политика.
Опция, предназначенная для применения групповых политик к выбранной группе, полезна во множестве различных сценариев. Например, вы планируете установить специфический пакет программ для группы пользователей, учетные записи которых рассеяны в различных OU по всему домену. Чтобы инсталлировать приложение, используя групповые политики, свяжите объект GPO с контейнерным объектом, который содержит учетные записи пользователей, а затем измените защиту GPO-объекта так, чтобы групповая политика применялась только к указанной группе. Другим примером является ситуация, когда имеется объект GPO, который назначен определенной OU, но вы не хотите, чтобы этот объект применялся ко всем пользователям этой OU. В этом случае вы можете, во-первых, создать группу, содержащую учетные записи пользователей, которым требуется данная групповая политика, и сконфигурировать разрешение Apply Group Policy только для этой группы. Во-вторых, вы можете создать группу, которая содержит все учетные записи пользователей, которым не требуется данная групповая политика, и использовать установку Deny (Запретить) на разрешении Apply Group Policy (Применить групповую политику) для гарантии того, что групповая политика не будет применяться к этим пользователям.
Совет. Если вы удаляете разрешение Apply Group Policy для группы, вы должны также удалить Read Access (Доступ для чтения). Если этого не сделать, то групповая политика будет читаться каждый раз при запуске компьютера и входе в систему членов группы, даже если она не применяется, и это окажет вредное воздействие на процессы запуска системы.
Совет. Active Directory Windows Server 2003 обеспечивает опцию фильтрации применения групповых политик, основанную на фильтрах Windows Management Instrumentation (Аппаратура управления Windows) (WMI). Фильтры WMI, написанные на языке WMI-запросов, могут использоваться для более точного определения групповых политик, применяемых к компьютеру. Например, можно использовать эту опцию для указания того, что пакет программ должен устанавливаться только на компьютере, имеющем более 200 Мб доступного дискового пространства, или на компьютере, имеющем более 64 Мб оперативной памяти. Подробности смотрите в Центре справки и поддержки (Help And Support Center) и в комплекте WMI Software Development Kit на веб-сайте Microsoft по адресу http: // msdn.microsoft.com/ library/default.asp?url=/library/en-us/wmidsk/wmi/ wmi_start_page.asp.
