headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Групповая политика: замыкание на себя

В данной статье я хотел бы рассказать о такой замечательной опции групповых политик, как loopback processing – замыкание на себя. Иногда сталкиваюсь с тем, что администраторы просто не знают про такую возможность и усложняют организационную структуру AD. Проще всего описать поведение данной политики на живом примере.

Итак, предположим в глобальной групповой политике Default Domain Policy определен таймаут скринсейвера в 30 минут. Данная политика настроена в разделе User Configuration.

Теперь посмотрим где расположены объекты, с которым мы будем эксперементировать:

Хотя в целом подобная настройка скринсейвера подходит в большинстве случаев, может возникнуть ситуация когда для определенных компьютеров нужно изменить поведение скринсейвера. Предположим что для компьютеров, расположенных в OU HR нам необходимо изменить поведение скринсейвера, а для двух других OU оставить поведение групповой политики по умолчанию.

Для выполнения данной задачи мы используем режим замыкания политики на себя для принудительного применения настроек пользователя в групповой политике, применяемой к организационной единице, содержащей рабочие станции. Так как все остальные пользовательские политики должны применяться в полном объеме, мы будем использовать замыкание на себя с объединением.

Создадим новую групповую политику, прикрепленную к Workstations OU.

Так как в данном случае эта политика примениться ко всем дочерним разделам, нам необходимо контролировать к каким рабочим станциям будет применяться наша политика. Для этого создадим новую группу безопасности Loopback и разделе Security Filtering удалим права Read и Apply у группы Authenticated Users. После чего дадим эти права на свежесозданную группу Loopback.

Мы знаем что опция для настройки скринсейвера настраивается в разделе User Configuration групповой политики и обычно применяется на пользователей. Однако, так как мы используем замыкание на себя, мы настроим нужное нам значение скринсейвера в разделе User Configuration новой политики ScreenSaver15 и прилинкуем данную политику на OU, где расположены рабочие станции.

Так как политика замыкания на себя фильтруется на более верхнем уровне, в политике ScreenSaver15 мы оставляем права Read и Apply по умолчанию.

Итак, настройка закончена и теперь нам необходимо приступить к проверке того факта, что для любого пользователя, залогинившегося на компьютер, находящийся в OU HR, эффективный таймаут скринсейвера будет 15 минут вместо 30-ти.

Аккаунт пользователя, под которым мы будем выполнять проверку находиться в Users OU. Он называется John.Galt.

Аккаунт компьютера находиться в HR OU и называется XP01.

И данная рабочая станция добавлена в группу Loopback.

Теперь залогинимся под указанным пользователем на данный компьютер и посмотрим на параметры скринсейвера.

Запустив результирующую политику на этой машине мы увидим что применяется именно политика ScreenSaver15 хотя OU HR содержит только объекты-компьютеры, а политика настроена в конфигурации пользователя..

Надеюсь в результате прочтения данной статьи вам удалось понять действие режима замыкания на себя. Хотелось бы отметить, что в некоторых сценариях возможно применение данной политики в режиме замены, при котором не происходит слияния. Конкретно для нашего примера это означало бы, что к любому пользователю после логона на компьютер XP01 применилась бы только политика ScreenSaver15, все остальные политики были бы отброшены.

Интересное в сети:

Качественный и недорогой монтаж камер наблюдения для вашего офиса, подъезда, дома. Широкий спект оборудования для различных режимов.

Типография “Формула цвета” предлагает качественные полиграфические услуги на современном оборудовании: оперативная печать брошюр с доставкой заказчику.