Групповая политика с восклицательным знаком

Блокирование наследования групповой политики | Просто о сложном

Допустим, вы решили отобразить настройки групповых политик как событий и желтый восклицательный знак, предупреждающий о. В домене Active Directory все объекты групповой политики .. синего круга с белым восклицательным знаком, как показано ниже. или ОП закладка "Групповые политики" после установки GPMC выглядит по -другому (рис. ): На этой закладке вместо списка политик и множества кнопок политик (синий значок с восклицательным знаком).

Если в объекте высокого уровня политика включена, вы можете перекрыть наследование, отключив политику на низком уровне. Если в объекте высокого уровня политика отключена, вы можете перекрыть наследование, включив политику на низком уровне. Этот метод приведет к желаемому результату, при условии что для политики не заданы блокировка или принудительное выполнение. Иногда наследование нужно заблокировать, чтобы к пользователям и компьютерам определенного контейнера не применялись политики, унаследованные с более высокого уровня.

При блокировке наследования применяются только настроенные параметры политик, связанных сданным уровнем, в параметры политик из контейнеров более высокого уровня блокируются если не задано принудительное выполнение политики.

Осваиваем оснастку RSoP

Администратор домена может применить блокировку, чтобы запретить наследование политик с уровня сайта. Соответственно, администраторы подразделений при помощи блокировки отменяют применение политик наследуемых с уровней домена и сайта.

Чтобы заблокировать наследование при помощи GPMC, щелкните правой кнопкой нужный домен пли подразделение и выберите команду Блокировать наследование Block Inheritance. Если она уже отмечена, ее повторный выбор отменит блокировку. Если в дереве консоли GPMC к значку контейнера добавлен синий кружок с восклицательным знаком, наследование для этого контейнера заблокировано. Можно запретить администратору контейнера перекрывать или блокировать наследуемые параметры групповой политики, задав принудительное наследование.

При этом все настроенные параметры политик с более высокого уровня наследуются и применяются независимо от того, какие параметры политик настроены на более низком уровне.

Таким образом, принудительное наследование отменяет и перекрытие, и блокировку параметров политик. При помощи принудительного наследования администраторы отменяют блокировку или перекрытие введенные администраторами доменов и подразделений. Администраторы домена этим же способом отменяют блокировки и перекрытия, введенные администраторами подразделений. Чтобы ввести принудительное наследование при помощи GPMC, разверните контейнер высокого уровня, с которого нужно начать принудительное наследование, щелкните правой кнопкой ссылку на GPO и выберите команду Принудительный Enforced.

Допустим, чтобы гарантировать наследование всеми подразделениями GPO уровня домена, разверните контейнер домена, щелкните правой кнопкой GPO доменного уровня и выберите команду Принудительный Enforced. Если она уже отмечена, ее повторный выбор отменит принудительное наследование. В GPMC очень просто определить, какие политики наследуются принудительно.

Выделите объект политики и перейдите на вкладку Область Scope правой панели. У принудительно наследуемой политики в столбце Принудительный Enforced стоит значение Да Yes. Выделив объект политики, щелкните правой кнопкой соответствующий элемент в столбце Размещение Location на вкладке Область Scopeчтобы отобразить контекстное меню, позволяющее управлять связями и принудительным применением политики.

При помощи консоли управления групповыми политиками вы можете запретить все наследования параметров политики для указанного домена или подразделения. При блокировании наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться непосредственно с данного подразделения. Но нужно учесть, что связи GPO, установленные принудительно невозможно заблокировать из родительского контейнера.

Блокировка, перекрытие и отключение политик в Windows Server

Узел с блокированным наследованием отображается в дереве консоли со значком синего круга с белым восклицательным знаком, как показано ниже: Подразделение с блокированным наследованием Управление разрешениями Обычно, в подразделениях Active Directory расположено несколько групп или пользователей. Как известно, объект групповой политики вы можете связывать только с подразделениями, доменами или сайтами.

Но что же делать, если вам нужно в область действия объекта GPO привязать только одну или несколько групп? Для выполнения подобных операций вам нужно фильтровать объекты GPO, чтобы его параметры применялись только к указанным пользователям или компьютерам.

Для определения разрешения доступа, при создании объекта GPO, для каждого объекта групповой политики создается индивидуальный список контроля доступа Access Control List - SCL. Чтобы вы могли выбрать пользователей и группы, для которых будут применяться параметры объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области действия GPO.

По определению, делегирование — это такая организация работы, при которой руководитель распределяет между подчиненными конкретные задания. То есть, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением.

В этой статье мы рассмотрим делегирование только для объектов групповых политик, подразделений и доменов, так как фильтры WMI и начальные объекты групповых политик будут рассматриваться в отдельных статьях. Для того чтобы разрешить или запретить указанное разрешение для выбранной группы — установите флажок в нужном для вас столбце. Анализ моделирования групповой политики.

Необходимо учесть, что вы не можете делегировать разрешение на выполнение анализа групповой политики сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из следующих статей.

Блокировка, перекрытие и отключение политик в Windows Server 2008

Эта область разрешений предназначена для указания полномочий, которые распространяются на связанные объекты групповой политики. Здесь вы можете выполнять такие же действия, как в предыдущих случая, но нужно учесть тот факт, что у вас не получится удалить группы и пользователей, наследующих разрешения родительских контейнеров. Чтение результирующих данных групповой политики. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на использование данного функционала. Заключение В данной статье вы узнали о приоритетах, наследовании и делегировании объектов групповой политики.

Подробным образом были рассмотрены приоритеты и порядок ссылок объектов групповых политик и их наследование. В последующих статьях вы узнаете о фильтрации WMI, начальных объектах групповых политик, моделировании групповой политики, результирующей политики и о многом другом.

Сообщите о ней автору: