Блокировка наследования и Блокировка сверху
Блокировка наследования и Блокировка сверху позволяют контролировать правила наследования, выставленные по умолчанию. В этой инструкции Вы настроите Объект ГП в подразделении Accounts, по умолчанию применяемый к пользователям (и компьютерам) в подразделениях Headquarters, Production и Marketing.
Затем Вы создадите другой Объект ГП в подразделении Accounts и настроите его с опцией Блокировка сверху. Блокировка сверху применяется к дочерним подразделениям, даже если для этого подразделения установлены конфликтующие настройки ОГП.
После чего Вы будете использовать Блокировку наследования, чтобы предотвратить применение Групповых политик родительского сайта, домена или подразделения к подразделению Production.
В данную секцию также включено описание того, как повысить производительность, запретив некоторые части ОГП (GPO).
Настройка среды
Для действий в этой секции сначала необходимо настроить среду.
Настройка среды ОГП
- Откройте сохраненную консоль MMC – GPWalkthrough и раскройте узел Active Directory – пользователи и компьютеры
- Дважды щелкните на домене reskit.com и выберите подразделение Accounts.
- Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
- Нажмите Создать и создайте новый ОГП под названием Default User Policies.
- Нажмите Создать и создайте новый ОГП под названием Enforced User Policies.
- Выберите Enforced User Policies ОГП и нажмите кнопку Вверх, чтобы передвинуть его наверх списка. Enforced User Policies ОГП должен иметь наибольший приоритет. Примечание: этот шаг всего лишь демонстрирует функциональность кнопки Вверх. Принудительный ОГП всегда имеет приоритет над остальными не принудительными Объектами ГП.
- Установите Блокировка сверху для Enforced User Policies, дважды щелкнув колонку Блокировка сверху или используя кнопку Параметры. СвойстваAccounts должны теперь выглядеть, как показано на рисунке 12:
Рисунок 12: EnforcedUserPolicies - Дважды щелкните Enforced User Policies ОГП для запуска оснастки "Групповая политика".
- В оснастке "Групповая политика", в ветке Конфигурации пользователя нажмите Административные шаблоны, затем Система, и потом Вход/Выход.
- В окне сведений дважды щелкните на политике Отключить диспетчер задач, нажмите Включен в диалоговом окне Отключить диспетчер задач и затем нажмите ОК. Для информации по политике перейдите в закладку Объяснение. Обратите внимание, что эта настройка теперь Включена, как показано на рисунке 13 ниже:
Рисунок 13. Диспетчер задач - Нажмите кнопку Закрыть, чтобы завершить работу с оснасткой "Групповая политика".
- В диалоговом окне СвойстваAccounts, на вкладке Групповая политика, в списке Ссылки на объект групповой политики дважды щелкните объект Default User Policies.
- В оснастке "Групповая политика", в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните на Рабочий стол, потом на папке Active Desktop и затем в окне сведений дважды щелкните на политике "ОтключитьActive Desktop".
- Выберите Включена,нажмите ОК и затем нажмите Закрыть.
- В диалоговом окне Свойства Accounts нажмите Закрыть.
Теперь, если Вы войдете на рабочую станцию с учетными данными пользователя в любом дочернем подразделении Accounts, Вы заметите, что Диспетчер задач более не может быть запущен – вкладка просто не доступна при комбинации клавиш CTRL + SHIFT + ESC и CTRL + ALT + DEL. Вдобавок, Active Desktop так же не может быть включен. Если Вы щелкните правой кнопкой мыши на Рабочем столе и выберите Свойства, Вы увидите, что вкладка Web отсутствует.
Как дополнительный шаг, Вы можете полярно развернуть настройки политики "Отключить Диспетчер задач" в каком-либо Объекте ГП, связанном с любым дочерним подразделением Accounts (Headquarters, Production, Marketing). Для этого измените переключатель для этой политики.
Примечание
Это действие не окажет никакого влияния, пока включен Объект ГП – Enforced User Policies в подразделении Accounts.