Иллюстрированный самоучитель по администрированию Windows 2000/2003

Блокировка наследования и Блокировка сверху

Блокировка наследования и Блокировка сверху позволяют контролировать правила наследования, выставленные по умолчанию. В этой инструкции Вы настроите Объект ГП в подразделении Accounts, по умолчанию применяемый к пользователям (и компьютерам) в подразделениях Headquarters, Production и Marketing.
Затем Вы создадите другой Объект ГП в подразделении Accounts и настроите его с опцией Блокировка сверху. Блокировка сверху применяется к дочерним подразделениям, даже если для этого подразделения установлены конфликтующие настройки ОГП.

После чего Вы будете использовать Блокировку наследования, чтобы предотвратить применение Групповых политик родительского сайта, домена или подразделения к подразделению Production.
В данную секцию также включено описание того, как повысить производительность, запретив некоторые части ОГП (GPO).

Настройка среды

Для действий в этой секции сначала необходимо настроить среду.

Настройка среды ОГП

  • Откройте сохраненную консоль MMC – GPWalkthrough и раскройте узел Active Directory – пользователи и компьютеры
  • Дважды щелкните на домене reskit.com и выберите подразделение Accounts.
  • Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
  • Нажмите Создать и создайте новый ОГП под названием Default User Policies.
  • Нажмите Создать и создайте новый ОГП под названием Enforced User Policies.
  • Выберите Enforced User Policies ОГП и нажмите кнопку Вверх, чтобы передвинуть его наверх списка. Enforced User Policies ОГП должен иметь наибольший приоритет. Примечание: этот шаг всего лишь демонстрирует функциональность кнопки Вверх. Принудительный ОГП всегда имеет приоритет над остальными не принудительными Объектами ГП.
  • Установите Блокировка сверху для Enforced User Policies, дважды щелкнув колонку Блокировка сверху или используя кнопку Параметры. СвойстваAccounts должны теперь выглядеть, как показано на рисунке 12:

    Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Пошаговое руководство по использованию возможностей набора Групповой политики › Блокировка наследования и Блокировка сверху
    Рисунок 12: EnforcedUserPolicies

  • Дважды щелкните Enforced User Policies ОГП для запуска оснастки "Групповая политика".
  • В оснастке "Групповая политика", в ветке Конфигурации пользователя нажмите Административные шаблоны, затем Система, и потом Вход/Выход.
  • В окне сведений дважды щелкните на политике Отключить диспетчер задач, нажмите Включен в диалоговом окне Отключить диспетчер задач и затем нажмите ОК. Для информации по политике перейдите в закладку Объяснение. Обратите внимание, что эта настройка теперь Включена, как показано на рисунке 13 ниже:

    Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Пошаговое руководство по использованию возможностей набора Групповой политики › Блокировка наследования и Блокировка сверху
    Рисунок 13. Диспетчер задач

  • Нажмите кнопку Закрыть, чтобы завершить работу с оснасткой "Групповая политика".
  • В диалоговом окне СвойстваAccounts, на вкладке Групповая политика, в списке Ссылки на объект групповой политики дважды щелкните объект Default User Policies.
  • В оснастке "Групповая политика", в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните на Рабочий стол, потом на папке Active Desktop и затем в окне сведений дважды щелкните на политике "ОтключитьActive Desktop".
  • Выберите Включена,нажмите ОК и затем нажмите Закрыть.
  • В диалоговом окне Свойства Accounts нажмите Закрыть.

Теперь, если Вы войдете на рабочую станцию с учетными данными пользователя в любом дочернем подразделении Accounts, Вы заметите, что Диспетчер задач более не может быть запущен – вкладка просто не доступна при комбинации клавиш CTRL + SHIFT + ESC и CTRL + ALT + DEL. Вдобавок, Active Desktop так же не может быть включен. Если Вы щелкните правой кнопкой мыши на Рабочем столе и выберите Свойства, Вы увидите, что вкладка Web отсутствует.
Как дополнительный шаг, Вы можете полярно развернуть настройки политики "Отключить Диспетчер задач" в каком-либо Объекте ГП, связанном с любым дочерним подразделением Accounts (Headquarters, Production, Marketing). Для этого измените переключатель для этой политики.

Примечание
Это действие не окажет никакого влияния, пока включен Объект ГП – Enforced User Policies в подразделении Accounts
.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.