3.6.5. Застосування декількох політик відносно одного контейнера

 

Уявіть, що політики Р4 і Р5, в яких визначаються значення найрізноманітніших параметрів, застосовані до контейнеру Acct. У розділі конфігурації комп’ютера політики Р4 членам глобальної групи Accounting (бухгалтерія) дозволяється локально підключатися до будь-якого комп’ютера в контейнері Acct, а також у всіх підконтейнерах цього контейнера. А в розділі конфігурації комп’ютера політики Р5 права групі Accounting (бухгалтерія) не призначаються. У списку політик, який відображається на сторінці Group Policy (Групова політика) у вікні властивостей контролера домену, політика Р5 розташовується в верхній частині списку – вище політики Р4. Політики, зазначені в цьому списку, застосовуються до об’єкта в порядку знизу вгору. Іншими словами, політики, розташовані в нижній частині списку, застосовуються в першу чергу, після чого застосовуються політики, розташовані вище за списком. Таким чином, при обробці розглянутого набору політик відносно контейнера Acct спочатку буде застосована політика Р4, а потім політика Р5. Отже, після обробки набору політик параметр прав на локальне підключення до системи буде містити значення з політики Р5. Таким чином, члени глобальної групи Accounting (бухгалтерія) не будуть мати право локального підключення до комп’ютерів контейнера Acct і його підконтейнерів. Щоб змінити порядок обробки політик, слід скористатися кнопками Up (Вгору) і Down (Вниз) в правому нижньому куті вкладки Group Policy (Групова політика).

Windows 200х дозволяє блокувати застосування деяких розділів об’єкта GPO. Якщо політика застосовується щодо контейнера не повністю, а тільки частково, загальний час підключення користувача до системи зменшується. Чим менша кількість параметрів GPO слід застосувати у відношенні того чи іншого об’єкта, тим швидше виконується обробка відповідної політики. Відключення оброблення деяких розділів політики можна здійснити окремо для кожного з об’єктів GPO. Для цього слід виконати такі дії:

1)        Відкрийте засіб Actve Directory – Users and Computers (Actve Directory – користувачі і комп’ютери). Виділіть контейнер, що Вас цікавить, відкрийте вікно властивостей цього контейнера і перейдіть на вкладку Group Policy (Групова політика).

2)        Виберіть об’єкт GPO, який ви маєте намір модифікувати.

3)        Клацніть на кнопці Propertes (Властивості).

4)        Тут ви можете блокувати застосування щодо контейнера параметрів політики, що відносяться до конфігурації комп’ютера або до конфігурації користувача.

5)        Після того як ви зазначили, застосування якого із розділів GPO повинно бути блоковано, на екрані з’явиться повідомлення про те, що значення параметрів, модифікованих завдяки даній політиці, будуть відновлені в початковий стан. Наприклад, якщо блокувати застосування параметрів GPO, що відносяться до конфігурації користувача, то конфігурація всіх користувачів, щодо яких діє дана політика, буде відновлена в стан, в якому вона була до застосування даної політики. На відміну від Windows 2000 операційна система NT 4.0 виконувала очищення політик некоректно. У зв’язку з цим в NT 4.0 навіть після скасування політики параметри об’єктів зберігали значення, присвоєні їм в процесі застосування скасованої політики.

Блокування застосування одного з розділів політики налаштовується для конкретного об’єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO.