Аспекты развертывания политик
Развертывание в смешанных доменах
Существует возможность использования политик ограниченного использования программ в доменах, работающих в смешанном режиме. Таким образом, Вам не придется обновлять Ваши контроллеры домена под управлением Windows 2000, чтобы получить все преимущества политик ограниченного использования программ. Вы можете использовать компьютер под управлением Windows XP для редактирования объектов групповой политики и конфигурирования Вашей политики ограниченного использования программ. Компьютеры под управлением Windows XP и Windows Server 2003 могут работать с объектами групповой политики, поэтому они будут использовать политику ограниченного использования программ. Компьютеры под управлением Windows 2000 будут игнорировать эти параметры.
Механизм объединения для нескольких политик ограниченного использования программ
Когда два или более объекта групповой политики применяются к пользователю или компьютеру, политики объединяются. При объединении двух или более политик ограниченного использования программ происходит следующее:
- Объект групповой политики с наивысшим приоритетом устанавливает следующие значения:
- Уровень безопасности по умолчанию
- Назначенные типы файлов
- Опция предотвращения применения политики к локальным администраторам (Skip Administrators)
- Проверка библиотек DLL (DLL checking)
- Правила нескольких объектов групповой политики всегда объединяются. Таким образом все дополнительные правила всех объектов групповой политики всегда присутствуют.
Политики ограниченного использования программ могут применяться к пользователям и к компьютерам. При объединении машинных и пользовательских политик действуют следующие правила:
- Выбирается более ограничивающий уровень безопасности по умолчанию.
- Если в политике компьютера содержится список назначенных типов файлов, то используется он. В противном случае используется список назначенных типов файлов политики пользователя.
- Значение опции предотвращения применения политики к локальным администраторам (Skip Administrators) всегда задается политикой компьютера.
- Если проверка библиотек DLL (DLL checking) включена в одной из политик, она используется.
- Все правила политик пользователей и политик компьютера объединяются.