Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером.
Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности. Они не могут быть связаны с GPO, но с помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.
Примечание
Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности. Группы дистрибуции (distribution groups) для этого не подходят.
Для ограничения влияния настроек групповой политики:
- В правом подокне окна оснастки Групповая политика укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.
- В появившемся контекстном меню выберите команду Свойства.
- В окне свойств объекта групповой политики перейдите на вкладку Безопасность.
- Нажмите кнопку Добавить и добавьте нужную группу.
- Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке Применение групповой политики флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.
Примечание
Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" – т. е. на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.